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Meldplicht datalekken 

Aan de orde is de behandeling van: 

- het wetsvoorstel Wijziging van de Wet bescherming 
persoonsgegevens en enige andere wetten in verband met 
de invoering van een meldplicht bij de doorbreking van 
maatregelen voor de beveiliging van persoonsgegevens 
alsmede uitbreiding van de bevoegdheid van het College 
bescherming persoonsgegevens om bij overtreding van 
het bepaalde bij of krachtens de Wet bescherming persoons¬ 
gegevens een bestuurlijke boete op te leggen (meldplicht 
datalekken en uitbreiding bestuurlijke boetebevoegdheid 
Cbp) ( 33662 ). 

De algemene beraadslaging wordt geopend. 

De voorzitter: 

Aan de beurt is de spreker van de zijde van D66, als eerste 
spreker van de zijde van de Kamer. Hij heeft een spreektijd 
van 20 minuten aangevraagd. 


□ 

De heer Schouw (D66): 

Voorzitter, dank u wel dat ik aan de beurt ben. 

De meldplicht datalekken en uitbreiding bestuurlijke boete¬ 
bevoegdheid is een belangrijk wetsvoorstel voor de 
bescherming van persoonsgegevens en eindelijk ligt het 
er. Eindelijk, want het heeft wel héél erg lang geduurd 
voordat het kabinet met zijn belofte uit het regeerakkoord 
over de brug kwam. Ondertussen is de noodzaak voor zowel 
een meldplicht als een boetebevoegdheid voor het College 
bescherming persoonsgegevens spectaculair gegroeid. De 
technologische ontwikkelingen vliegen ons om de oren. 
Informatie wordt steeds belangrijker en maakt ons leven 
steeds gemakkelijker, maar we betalen daarvoor ook een 
prijs. Steeds meer van onze persoonsgegevens worden 
opgevraagd, vastgelegd en uitgewisseld. Ze geven veel 
bloot van wie we zijn, wat we doen, wanneer en zelfs met 
wie. De grip op die eigen gegevens over wie wat over je 
weet of te weten kan komen, verliezen heel veel burgers 
steeds vaker. Dat is zorgelijk, want het recht op een eigen 
levenssfeer is in onze vrije samenleving een grondrecht 
van bijna 17 miljoen mensen. Een grondrecht verdient het 
om serieus genomen te worden en om beschermd te wor¬ 
den tegen misbruik en onzorgvuldigheid. 

Partijen die hechten aan die gegevensbescherming riepen 
de staatssecretaris dan ook meerdere malen op: treuzel nou 
niet langer en kom met een boetebevoegdheid, geef de 
privacywaakhond ook tanden. Dat is namelijk het meest 
kernachtige waarom we hier vandaag bij elkaar zijn, 
namelijk om de privacywaakhond tanden te geven. Te vaak 
gaat het mis en te vaak worden regels niet nageleefd of kan 
de toezichthouder onvoldoende handhaven. De grote vraag 
is nu natuurlijk of met het onderhavige wetsvoorstel aan 
die lang gekoesterde wens tegemoet wordt gekomen. Regelt 
dit wetsvoorstel nu een slagvaardige toezichthouder die 
daadkrachtig kan optreden met een noodzakelijke en uit¬ 
voerbare meldplicht? Heeft de boetebevoegdheid de 
gewenste afschrikwekkende, preventieve werking? 


Alles overziend, vreest de fractie van D66 dat het nog niet 
zo ver is. De staatssecretaris presenteert een privacywaak¬ 
hond die wordt uitgerust met een klappergebitje. Het klap¬ 
pert maar het bijt nog niet echt door. Het is als — ik probeer 
mij een beetje in de taal van de staatssecretaris te verplaat¬ 
sen — een politieagent die met de handen op de rug 
gebonden de boeven moet vangen. En de staatssecretaris 
weet zelf dat dat niet werkt. Ik wil het daarom achtereenvol¬ 
gens hebben over de boetebevoegdheid, de ministeriële 
goedkeuring, de meldplicht en niet te vergeten de naams¬ 
wijziging van het College bescherming persoonsgegevens. 

Eerst die boetebevoegdheid. Het hele idee van de boetebe¬ 
voegdheid is dat van een robuust extern toezicht. Dat zeg 
ik een organisatie als de FNV na, die er een indringende 
brief over heeft gestuurd naar deze Kamer. Stevige handha¬ 
ving van de regels van de Wet bescherming persoonsgege¬ 
vens zodat die wet niet uitgroeit tot een wassen neus, ach¬ 
terhaald door technologie of ondermijnd door slechte 
handhaving. Het strafrecht als beschermheer van privacy, 
als stok achter de deur verdwijnt met dit voorstel wat meer 
naar de achtergrond, want alle heil wordt gezocht in de 
bestuurlijke boete. Op zichzelf is dat prima, maar welk heil 
moet daarvan komen als niet onmiddellijk een bestuurlijke 
boete opgelegd kan worden en als er eerst in vrijwel alle 
gevallen een bindende aanwijzing moet worden gegeven? 
Verliest de toezichthouder dan niet die stevigheid als 
gegevensverwerkers weten dat zij er eerst met een waar¬ 
schuwing van af kunnen komen? Dat is volgens mij fout 
nummer één in het huidige wetsvoorstel. De bindende 
aanwijzing die altijd nodig is voordat een boete kan worden 
opgelegd, moet eruit. 

Wat is eigenlijk nodig voor opzet in bestuursrechtelijke zin? 
Wanneer is een inbreuk zo ernstig dat de toezichthouder 
meteen een boete mag opleggen? En mag de toezichthou¬ 
der straks ook rekening houden met de aard van een over¬ 
treding, de kenmerken van een overtreding, de mate van 
verwijtbaarheid of herhaalde overtredingen? Stel nou dat 
het om gegevens van kwetsbare groepen gaat, zoals kinde¬ 
ren. Is het dan ernstiger? Als de overtreder als hoofdactivi¬ 
teit gegevensverwerking heeft, en op dit terrein dus geen 
onbekende is, is het dan ernstiger? Hoe weegt de mate van 
onzorgvuldigheid, onachtzaamheid of onoordeelkundig 
handelen mee? En wat als de overtreder bij herhaling de 
privacywet overtreedt? 

Kortom, welke ruimte biedt het wetsvoorstel aan al die 
overwegingen die het opleggen van boetes juist zorgvuldi¬ 
ger moeten maken in plaats van rigide? Mijn fractie stelt 
voor dat we de bindende aanwijzing als tussenstap niet 
verplicht stellen, en dat we de boetebevoegdheid niet uit¬ 
sluitend ophangen aan begrippen als "opzet" en "ernstig 
verwijtbare nalatigheid", zoals opgenomen in het amende¬ 
ment van de Partij van de Arbeid en de VVD. Dat voorstel 
doen we samen met de fractie van de ChristenUnie. De 
bevoegdheden moeten namelijk zorgvuldig en adequaat 
worden toegepast. Daarbij geldt primair dat mensen straks 
precies moeten weten wat de regels zijn en wat ze kunnen 
verwachten als ze de regels niet opvolgen. Dat halen zij niet 
uit de wet. Dat kan dadelijk alleen maar gebaseerd zijn op 
de richtsnoeren en beleidsregels van het College bescher¬ 
ming persoonsgegevens. Die zijn daarvoor cruciaal. 

Mijn grote vrees is dat als we de wet nu te nauwformuleren 
door in de wettekst allerlei beperkingen op te nemen over 
wanneer het College bescherming persoonsgegevens direct 
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kan overgaan tot een boete, het noodzakelijke maatwerk 
onnodig wordt beperkt en allerlei vormen van juridisering 
ontstaan die mijn fractie niet wil. Mijn fractie wil dus van 
de staatssecretaris weten wat nu precies het bezwaar is als 
we de escalatieladder van de boetebevoegdheid regelen in 
de beleidsregels, en het wetsvoorstel vrijhouden van enige 
inperking op dat punt. De rechter kan het College bescher¬ 
ming persoonsgegevens tot de orde roepen als de norm 
niet voldoende duidelijk wordt of kenbaar was voor 
betrokkene. Dat zijn naar de opvatting van mijn fractie toch 
de waarborgen voor correcte, zorgvuldige, kenbare en 
voorziene toepassingen. Graag hoor ik de reactie van de 
staatssecretaris. 

Het andere punt is de ministeriële goedkeuring. Daar heb¬ 
ben we in de schriftelijke voorbereiding ook al uitgebreid 
over gecorrespondeerd. Richtsnoeren en beleidsregels van 
de toezichthouders behoeven instemming van twee minis¬ 
ters. Dat is een aangelegen punt. Met de boetebevoegdheid 
heeft het College bescherming persoonsgegevens straks 
de normstelling en de bestraffing in één hand. Dat is 
natuurlijk een aandachtspunt. De vraag is hoe je dat nou 
wettelijk gaat regelen. Kunnen ministers die verantwoorde¬ 
lijk zijn voor de privacywetgeving betrokken zijn bij nadere 
normstellingen door een nationale toezichthouder waar de 
ministers zelf ook onder vallen? Met andere woorden: kan 
de minister regels goedkeuren of vaststellen waar hij zich 
als overheidsorgaan eigenlijk ook zelf aan moet houden? 
Dat lijkt mijn fractie een beetje een gewrongen constructie. 
Hoe gaat de staatssecretaris straks de onafhankelijkheid 
van de toezichthouder precies waarborgen als deze minis¬ 
ters bemoeienis krijgen met de toepassing van privacynor¬ 
men? 

De heer Van Wijngaarden (VVD): 

Graag een korte verduidelijking op het amendement op 
stuk nr. 19, want ik hoorde de heer Schouw zojuist aangeven 
dat de verplichte tussenstap van de bindende aanwijzing 
wat hem betreft niet hoeft. Maar als ik het amendement 
goed begrijp, staat daarin dat het niet-nakomen van een 
bindende aanwijzing beboetbaar is. Daar wordt die dan 
toch niet in weggelaten? Of lees ik dat verkeerd? 


De heer Schouw (D66): 

Wat ik wil doen, is meegaan in de redenering die de heer 
Van Wijngaarden namens zijn fractie heeft gevolgd in zijn 
amendement waar het gaat om ernstig verwijtbare nalatig¬ 
heid, omdat die begrippen volgens mij een enorme inper¬ 
king betekenen aan de voorkant van de directe boetebe¬ 
voegdheid die het College bescherming persoonsgegevens 
moet hebben vanwege de afschrikwekkende werking. Met 
andere woorden, daar gaat een preventieve werking van 
uit. Nu is gepoogd in het amendement van de heer Van 
Wijngaarden om die preventieve werking aan banden te 
leggen. Dat vind ik niet verstandig. 


De heer Van Wijngaarden (VVD): 

Ik stel het zeer op prijs dat de heer Schouw ingaat op het 
andere amendement, maar ik had eigenlijk een vraag over 
dit amendement, te weten het amendement op stuk nr. 19 
van hem en de heer Segers. 


De voorzitter: 

U zegt dat uw vraag niet is beantwoord. Laten wij de heer 
Schouw dan vragen of hij wel meent de vraag te hebben 
beantwoord. 


De heer Schouw (D66): 

Ik dacht dat ik mijn hele setje amendementen bij me had, 
alleen het amendement op stuk nr. 19 heb ik nu net niet bij 
me. 


De voorzitter: 

Ik geef het aan u. 

De heer Schouw (D66): 
Wat was de vraag? 


De heer Van Wijngaarden (VVD): 

Zojuist gaf u aan dat die verplichte tussenstap wat u betreft 
niet nodig is. Ik lees het zo dat hier staat dat u het beboet¬ 
baar wilt maken als die tussenstap, dus die bindende aan¬ 
wijzing, niet wordt nagekomen. 


De heer Schouw (D66): 

Ja, maar verder beperken wij dit niet. Daarom verwees ik 
net ook naar uw amendement, want u wilt hetzelfde, maar 
u maakt het heel erg beperkend, waardoor de effectiviteit 
van het College bescherming persoonsgegevens volgens 
mij aan banden wordt gelegd. 

De voorzitter: 

U vervolgt uw betoog. 

De heer Schouw (D66): 

De verplichte ministeriële goedkeuring geldt voor nieuwe 
en bestaande richtsnoeren van de toezichthouder. Wat als 
één van de zes bestaande richtsnoeren niet wordt goedge¬ 
keurd? Wat betekent dat dan voor het optreden van het 
College bescherming persoonsgegevens in het verleden? 
Kan de staatssecretaris daarop een reactie geven? Hoe lang 
duurt zo'n goedkeuringstraject en hoe gaan we om met de 
tussentijdse actualisering van richtsnoeren? 

Wat zijn eigenlijk de Europese implicaties van dit voorstel? 
Want als ik de reactie van het College bescherming per¬ 
soonsgegevens goed lees, spreekt dat uit dat het wel dui¬ 
delijk is dat dit zal leiden tot een infractieprocedure, omdat 
het goedkeuringsvereiste in strijd is met de onafhankelijk¬ 
heid van het privacytoezicht. Kan de staatssecretaris dat 
risico uitsluiten? 

Collega Segers en ik hebben daarvoor een oplossing in de 
vorm van een amendement om de ministeriële goedkeuring 
te schrappen en om de schijn van belangenverstrengeling 
te voorkomen. Graag een reactie op dit punt. 

Dan de meldplicht, want waar gegevens worden verzameld, 
bestaat het risico op datalekken. Aangezien de dataverza¬ 
meling spectaculair is toegenomen, zijn de risico's dat het 
misgaat ook steeds groter. Gegevens van burgers kunnen 
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op straat komen te liggen, worden gehackt, misbruikt of 
doorverkocht aan derden. Als we persoonsgegevens ade¬ 
quaat willen beschermen en willen optreden als het mis¬ 
gaat, dan is een meldplicht voor datalekken nu en voor de 
toekomst dus simpelweg noodzakelijk. Mijn fractie begrijpt 
dan ook niet waarom de staatssecretaris zijn oorspronkelijke 
wetsvoorstel rigoureus heeft gewijzigd ten nadele van die 
privacy van burgers. Als wij de meldplicht tot de meest 
ernstige gevallen beperken, dempen wij de put dus pas als 
het kalf verdronken is. Een meldplicht heeft nadrukkelijk 
meerwaarde in die gevallen waarin de ernstige gevolgen 
nog niet zijn opgetreden, maarwel dreigen. Daarom hebben 
wij met de fracties van de PvdA en de VVD een amendement 
ingediend waarmee wij de privacybescherming aanscher¬ 
pen en tegelijkertijd de meldplicht werkbaar houden voor 
de gegevensverwerkers. Daarbij hechten wij eraan dat de 
gegevensverwerkers binnen de organisatie een overzicht 
bijhouden van ten minste de ernstige inbreuken die ook 
een meldingsplicht kennen. Zo'n trackrecord houdt de 
gegevensverwerker scherp op zijn gegevensbeveiliging. 
Burgers, consumenten en cliënten hebben er recht op om 
te weten of hun persoonsgegevens veilig zijn, of juist 
onderhevig aan voortdurende ernstige inbreuken of dreigin¬ 
gen daarvan. De staatssecretaris zal het amendement 
inmiddels gezien hebben. Wat vindt hij van deze tussenva¬ 
riant? 

Wij hebben ook een amendement gesteund dat over de 
versleutelde gegevens gaat. Ik neem aan dat dit dadelijk 
door een van de indieners zal worden toegelicht. 

Tot slot heb ik nog het punt van de naam. Het College 
bescherming persoonsgegevens krijgt ook een nieuwe 
naam, de Autoriteit persoonsgegevens, zo lezen wij tussen 
neus en lippen door in het wetsvoorstel. Dat is goed. Mijn 
fractie vraagt al langer om een andere duiding, die beter 
aansluit bij de stevige positie van een toezichthouder. Zoals 
wij de Autoriteit Consument & Markt en de Autoriteit 
Financiële Markten hebben, verdient ook privacy een echte 
autoriteit. In Europa wordt al langer gesproken over de 
"autoriteit dataprotectie", een sterke combinatie van positie 
en kerntaak van de privacytoezichthouder. Wij missen die 
bescherming echter in het voorstel van de staatssecretaris, 
terwijl dit juist de essentie is. Mijn fractie stelt dan ook voor 
om de naam wat scherper te formuleren. Wij zouden het 
College bescherming persoonsgegevens willen omdopen 
tot Autoriteit Gegevensbescherming. Dit lijkt ons veel meer 
aan te sluiten bij de Europese begrippen, de "autoriteit 
dataprotectie". Bovendien kan er dan geen misverstand 
over ontstaan, zelfs niet qua naam. 

Ik rond af. Wij hebben lang naar dit wetsvoorstel uitgezien. 
Het is goed dat het er is. Het is nodig dat er een privacywaak- 
hond met tanden komt, maar er zouden nog twee dingen 
aan het wetsvoorstel moeten veranderen. Ten eerste zouden 
wij graag zien dat de ministeriële goedkeuring uit dit wets¬ 
voorstel verdween. Daarvoor hebben de ChristenUnie en 
D66 een amendement voorbereid. Ten tweede willen wij 
geen grote beperkingen voor het College bescherming 
persoonsgegevens om direct over te gaan tot een boete. 

□ 

Mevrouw Helder (PVV): 

Voorzitter. Naar aanleiding van een aantal incidenten 
waarbij door een inbreuk op de beveiliging van websites 


persoonsgegevens vrijkwamen, met nadelige gevolgen 
voor de persoonlijke levenssfeer van betrokkenen, is de 
staatssecretaris gekomen met het wetsvoorstel dat wij 
vandaag bespreken. In het wetsvoorstel wordt een meld¬ 
plicht geïntroduceerd in de Wet bescherming persoonsge¬ 
gevens, de Wbp. Op dit moment geldt de beveiligingsver- 
plichting van artikel 13 Wbp. Die bepaling verplicht de ver¬ 
antwoordelijke om passende technische en organisatorische 
maatregelen te treffen om persoonsgegevens te beveiligen 
tegen verlies of enige vorm van onrechtmatige verwerking. 
De voorgestelde meldplicht van datalekken staat in nauw 
verband met deze beveiligingsverplichting. Is de beveiliging 
doorbroken, dan bestaat er in een aantal gevallen namelijk 
een meldplicht voor diegene die verantwoordelijk is voor 
het beheer en/of de verwerking van de persoonsgegevens. 
De klemtoon bij deze meldplicht ligt op het lekken van per¬ 
soonsgegevens als gevolg van beveiligingsproblemen. Bij 
een ernstige inbreuk op de getroffen maatregelen ter 
beveiliging van persoonsgegevens moet de verantwoorde¬ 
lijke, dus degene die de gegevens verwerkt, op grond van 
het voorgestelde artikel 34a die inbreuk melden bij de toe¬ 
zichthouder, dus het College bescherming persoonsgege¬ 
vens. De meldplicht geldt alleen in geval van een inbreuk 
die ernstige nadelige gevolgen heeft voor de bescherming 
van de persoonsgegevens. 

Verder komt er een uitbreiding van de boetebevoegdheid 
van het College bescherming persoonsgegevens, het CBR 
Volgens het wetsvoorstel kan het CBP een bestuurlijke boete 
gaan opleggen van maximaal €450.000, maar wel met de 
voorwaarde dat eerst een bindende aanwijzing is gegeven, 
met daarbij een termijn waarbinnen de aanwijzing moet 
worden opgevolgd. Een boete mag alleen in uitzonderings¬ 
gevallen terstond, dus meteen en zonder waarschuwing of 
zonder bindende aanwijzing, worden opgelegd als sprake 
is van een willens en wetens gepleegde opzettelijke over¬ 
treding van de Wbp. De PVV heeft het belang van de 
bescherming van persoonsgegevens hoog in het vaandel 
staan en vindt dat inbreuk op de beveiliging dan ook zo 
veel mogelijk dient te worden voorkomen. Als er dan toch 
sprake is van zo'n inbreuk, moet er natuurlijk zo snel 
mogelijk worden gemeld. Mijn fractie kijkt daarom positief 
naar het wetsvoorstel. Toch heeft zij nog een aantal vragen 
voor de staatssecretaris alvorens zij een definitief standpunt 
kan innemen. 

De eerste vraag is de volgende. In het oorspronkelijke 
wetsvoorstel gold als voorwaarde voor de meldplicht dat 
het daarbij moet gaan om een ernstige inbreuk waarvan 
redelijkerwijs kan worden aangenomen dat hij leidt tot een 
aanmerkelijke kans op verlies of onrechtmatige verwerking 
van persoonsgegevens. In de nota van wijziging is dat ver¬ 
anderd. Nu is de voorwaarde dat sprake moet zijn van een 
inbreuk met ernstige nadelige gevolgen. Als we dit letterlijk 
lezen, betekent dit volgens mijn fractie dat de drempel voor 
de meldplicht is verhoogd. Er is geen sprake meer van "een 
aanmerkelijke kans", maar van "ernstige gevolgen hebbend". 
Ik concludeer daaruit dat de gevolgen zich al moeten heb¬ 
ben voorgedaan. Zo lees ik het. Klopt dat en, zo ja, waarom 
is dit veranderd? Juist de meldplicht zou stimulerend 
moeten werken bij het op een juiste manier beveiligen van 
persoonsgegevens. De PVV vindt dat die stimulans voor 
een deel wegvalt als er alleen nog maar bij ernstige nadelige 
gevolgen gemeld hoeft te worden. Is de staatssecretaris 
dat met de PVV eens? 


Tweede Kamer 


Meldplicht datalekken 


5 februari 2015 
TK 51 


51-9-3 



Ik kom bij mijn tweede vraag. Het CBP moet volgens de 
regering "voldoende tanden hebben" als toezichthouder. 
Daarom is in het wetsvoorstel bepaald dat het CBP in een 
aantal gevallen niet eerst een bindende aanwijzing hoeft te 
geven. Het CBP hoeft dan dus niet te waarschuwen, mag 
meteen tot actie overgaan en kan direct een boete of zelfs 
een stevige boete opleggen. Ik zei eerder al dat dit alleen 
is toegestaan als er sprake is van een opzettelijke overtre¬ 
ding van de Wbp. Dit lijkt echter enigszins op een dode 
letter, want het bewijzen van opzet of van willens en wetens 
handelen, lijkt mij in de praktijk nagenoeg onmogelijk. Het 
enige voorbeeld dat ik nu zo snel kan bedenken, is het 
voorbeeld dat we enige tijd geleden zagen waarbij patiënten 
van het VUmc bij aankomst op de eerste hulp — zij waren 
dus ook nog in een zwakke positie — werden gefilmd zonder 
dat zij daar vooraf toestemming voor hadden gegeven. 

Ik zie dat de heer Van Wijngaarden wil interrumperen. 

De voorzitter: 

Dat zie ik ook. U hebt gelukkig gepauzeerd. Dat geeft de 
heer Van Wijngaarden de mogelijkheid om een vraag te 
stellen. 


De heer Van Wijngaarden (VVD): 

Mevrouw Helder zegt dat de drempel voor een melding in 
het gewijzigde wetsvoorstel wel erg hoog komt te liggen. 
Wat vindt zij wat dat betreft van het amendement Schouw 
c.s. op stuk nr. 18, waarin die drempel weer iets wordt ver¬ 
laagd? In dat amendement staat dat het moet gaan om een 
datalek dat leidt tot een aanzienlijke kans op ernstige 
nadelige gevolgen, dan wel een datalek dat ernstige nade¬ 
lige gevolgen heeft voor de bescherming van persoonsge¬ 
gevens. In dat amendement komt de "kans" dus eigenlijk 
weer terug. Ik ben benieuwd naar de reactie daarop van 
mevrouw Helder. 


Mevrouw Helder (PVV): 

Ik kan wel ingaan op al die amendementen die op die ter¬ 
men ingaan, of ze willen aanpassen. Het gaat daarin over 
"aanzienlijke kans", over "verwijtbaar handelen", over 
"ernstig verwijtbaar handelen" en over "ernstig verwijtbaar 
nalaten". Daarmee treed je steeds in casuïstiek. Mijn fractie 
vindt dat het wetsvoorstel dat had moeten voorkomen. Als 
je vindt dat een toezichthouder tanden moet hebben, moet 
je met iets komen waarvan duidelijk is dat de toezichthouder 
daar ook iets mee kan. Mijn vraag hierbij is of je wel kunt 
aantonen dat er opzettelijk is gehandeld. Er zijn verschil¬ 
lende fracties die die drempel willen aanpassen. Mijn vraag 
zou ook zijn: kun je wel aantonen dat er willens en wetens 
verwijtbaar is gehandeld en er verwijtbaar is nagelaten? Ik 
kan situaties bedenken, maar dit is nu juist een casuïstiek 
waarvan ik vind dat die in de wet zelf geregeld had moeten 
zijn, zodat het CBP daarmee aan de slag kan. Het feit dat 
wij er hier al over aan het discussiëren zijn, geeft wat mijn 
fractie betreft al aan dat dit is aan te tonen. 


De heer Van Wijngaarden (VVD): 

Is mevrouw Helder het dan ook met mij eens dat wij hier 
als medewetgever de verantwoordelijkheid hebben om 
alsnog te zorgen voor een tekst waarmee we goed kunnen 
leven? 


Mevrouw Helder (PVV): 

Wij zijn inderdaad medewetgever, maar als er iets komt 
waarvan je je voordat je hier staat al afvraagt of het doel 
wel bereikt zal worden — dat is ook mijn inbreng — dan ga 
ik niet iets amenderen. Dan zou ik met een eigen initiatief¬ 
wetsvoorstel komen. Ik vind datje dan de verantwoordelijk¬ 
heid zelf maar moet nemen. Mijn fractie vindt wat er gere¬ 
aliseerd moet gaan worden een positief idee, maar heeft 
er ernstige vragen bij of dat ook gaat gebeuren. Als we dat 
allemaal moeten amenderen, mag ik hopen dat de staats¬ 
secretaris er dadelijk zijn oordeel over gaat geven. Aan de 
hand daarvan kan mijn fractie haar standpunt bepalen met 
een positieve grondhouding. Meer kan iker niet van maken. 

Voorzitter. Ik was net aan het einde van het voorbeeld. Als 
de regering het CBP daadwerkelijk tanden wil geven — daar 
is hij weer — dan moet er iets aan de wet veranderd wor¬ 
den. Collega's proberen dat met een amendement en ik 
probeer dat met vragen aan de staatssecretaris. Enerzijds 
komt de regering met een soort van gele kaart in de vorm 
van een bindende aanwijzing, maar volgens mij heeft het 
CBP die mogelijkheid al, alleen heet die geen bindende 
aanwijzing. Anderzijds wordt de uitzondering gecreëerd 
dat de bindende aanwijzing achterwege mag blijven en 
meteen een boete mag worden opgelegd. De drempel is 
dan wel erg hoog, gezien het criterium van opzet. Is de 
staatssecretaris dit met de PVV eens? Ik hoor daar graag 
het antwoord op. 

In dat kader heb ik ook aandacht voor de Europese regelge¬ 
ving — ja, zelfs mijn fractie! — want daar kun je niet 
omheen. Ook op Europees niveau is nieuwe regelgeving 
in de maak over de meldplicht bij het lekken van data: de 
algemene verordening gegevensbescherming, ofwel de 
General Data Protection Regulation. In die verordening staat 
de algemene verplichting tot het melden van datalekken. 
Die verordening heeft rechtstreekse werking, dus die hoeft 
niet te worden omgezet in nationale wetgeving en kan dus 
het wetsvoorstel dat we vandaag bespreken toch enigszins 
om zeep helpen. De onderhandelingen over deze verorde¬ 
ning lopen nog, maar we weten al dat deze geen onder¬ 
scheid maakt tussen lekken met en lekken zonder ernstige 
gevolgen. Het wetsvoorstel doet dat echter wel. Is het dan 
niet beter om geen onderscheid te maken tussen de 
gevolgen van het lek en aan te sluiten bij een bredere 
meldplicht of denkt de staatssecretaris daar anders over? 
Voor de volledigheid zeg ik erbij — iedereen zal het weten 
— dat mijn fractie altijd zegt dat je nationaal moet regelen 
wat je nationaal wilt regelen. Zij vindt dus ook dat de 
staatssecretaris dat zelf moet doen. 

Hoewel de PVV-fractie het eens is met de regering dat een 
toezichthouder stevig moet kunnen optreden — ik zei net 
al dat we een positieve grondhouding jegens het wetsvoor¬ 
stel hebben — vindt zij het wel merkwaardig dat het CBP 
de voorwaarde die ik net heb genoemd en die ernstige 
gevolgen heeft gehad, zelf invult, maar dat het CBP dus ook 
de instantie is die de boete oplegt. Ofwel: de norminvulling 
komt te liggen bij de instantie die ook de sanctie oplegt. 
Dat lijkt een beetje op "wij van WC-Eend ..."; u kent het 
allemaal wel. De PVV wil dan ook weten hoe de staatssecre¬ 
taris hierover denkt. Ziet hij dat gevaar ook? Zo nee, waarom 
niet? Is het gevaar voldoende ingekaderd door de verplichte 
ministeriële goedkeuring van de richtsnoeren die het CBP 
vaststelt ter invulling van de normen die het zelf handhaaft? 
We hebben hierover drie dagen geleden een brief gekregen. 
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Tot slot heb ik nog een technisch punt. Het voorgestelde 
artikel 34a, vierde lid van de Wbp bepaalt dat de kennisge¬ 
ving aan het CBP meer elementen omvat dan een melding 
van de inbreuk aan de betrokkene, dus wiens gegevens het 
betreft. Dat gaat vooral om gegevens van technische aard. 
Volgens de memorie van toelichting stelt dit het CBP beter 
in staat om het toezicht effectief uit te oefenen. Maar is 
hiervoor niet meer technische kennis vereist dan het CBP 
in huis heeft, mede gezien de snelle veranderingen op dit 
gebied? Zo ja, waarom is er dan geen bijstand geregeld 
door bijvoorbeeld het Nationaal Cyber Security Centrum? 
Als de overheid een toezichthouder met tanden wil, dan 
moet zij er ook voor zorgen dat de kennis hiervoor aanwezig 
is dan wel goed te raadplegen is op een eenvoudige manier. 
Is de staatssecretaris dat met de PVV eens? Zo ja, is hij 
bereid dit te gaan regelen? 

Ik rond af met de samenvatting. Ik kom tot de conclusie dat 
het wetsvoorstel goedbedoeld is, maar dat het duidelijk op 
twee gedachten hinkt: meer tanden voor de toezichthouder, 
maar met de waarschijnlijkheid dat die niet voldoende kan 
bijten. Om maar een beetje in de beeldspraak te blijven — 
ik doe ook maar een gooi — zeg ik het volgende. Het lijkt 
een beetje op die tandjes die je opdraait en die heel leuk 
stuiteren op je tafeltje, waarna ze eraf vallen. Iedereen vindt 
dat leuk, maar er gebeurt dus niks, behalve dat we even lol 
hebben gehad. Dat kan natuurlijk niet de bedoeling zijn. 
Maar goed, het wetsvoorstel kan op sympathie van de PVV 
rekenen, zeg ik nog maar eens. Ik wacht het antwoord op 
de vragen met belangstelling af, alvorens een standpunt te 
bepalen. 

□ 

De heer Van Nispen (SP): 

Voorzitter. Ik vervang vandaag mijn collega Gesthuizen, die 
door omstandigheden niet aanwezig kan zijn. 

Het recht op bescherming van de persoonlijke levenssfeer 
is een heel belangrijk grondrecht. De SP is een groot voor¬ 
stander van het invoeren van de meldplicht datalekken, 
omdat het voor betrokkenen van wie persoonsgegevens 
worden gelekt, van groot belang is om hiervan op de hoogte 
gesteld te worden. Dan kunnen zij zelf maatregelen nemen 
om zich te beschermen tegen inbreuk op hun privacy en 
beducht zijn voor identiteitsfraude. Het is ook goed dat 
geregeld wordt dat een datalek ook wordt gemeld aan het 
College bescherming persoonsgegevens, onze privacywaak- 
hond. 

Het invoeren van de meldplicht moet gaan bijdragen aan 
behoud en herstel van vertrouwen in de omgang met per¬ 
soonsgegevens. Dat is hard nodig. Op dit moment hebben 
veel mensen onvoldoende vertrouwen in een zorgvuldige 
omgang met hun persoonsgegevens. Zij hebben vaak het 
gevoel niette weten waar hun persoonsgegevens blijven. 
Wat wordt er over mij verzameld? Wie kan daarbij? Zijn die 
gegevens wel veilig? 

Nogmaals, het is goed dat er een meldplicht voor datalekken 
wordt ingevoerd, maar we spreken vandaag wel over een 
afgezwakte wet. Eerst moest een datalek nog bij het College 
bescherming persoonsgegevens gemeld worden als rede¬ 
lijkerwijs kon worden aangenomen dat het lek leidt tot een 
aanmerkelijke kans op nadelige gevolgen. Maar omdat de 
regering deze normering achteraf wat vaag achtte, moeten 


de gevolgen inmiddels ernstig nadelig zijn, waardoor het 
wetsvoorstel ernstig nadelig is afgezwakt. 

Er ligt nu een amendement van de heer Schouw c.s. op 
stuk nr. 18 om dit aan te passen. Mijn fractie staat daar in 
beginsel positief tegenover, al gaat het wellicht nog niet 
ver genoeg. We moeten namelijk voorkomen dat een stimu¬ 
lans om te zorgen voor een veilige en dus beveiligde 
omgeving wegvalt. Bij nadelige gevolgen die niet als ernstig 
kunnen worden gekwalificeerd, heeft een instantie niets te 
vrezen van het CBP. De betrokkene of het slachtoffer heeft 
echter des te meer te vrezen van de gevolgen van die 
datalekken. 

Bovendien ontstaat er misschien een beetje een gekke 
situatie, als ik de bepalingen in artikel 34a goed lees en 
begrijp. Slachtoffers moeten wel door instanties en bedrij¬ 
ven die te maken hebben met datalekken geïnformeerd 
worden als er waarschijnlijk sprake is van ongunstige 
gevolgen. Deze drempel is minder hoog. Dit leidt ertoe dat 
een datalek wel aan de betrokkene moet worden gemeld, 
maar niet aan het College bescherming persoonsgegevens. 
Waar heb je dan nog een toezichthouder voor? 

Het CBP schrijft hierover zelf dat de melding het karakter 
krijgt van de put die gedempt wordt wanneer het kalf reeds 
verdronken is, zoals al is gezegd. De preventieve rol die 
voor de toezichthouder in het oorspronkelijke wetsvoorstel 
was weggelegd, is na de nota van wijziging geheel verdwe¬ 
nen. Wat vindt de staatssecretaris van deze situatie? Is dat 
niet gek? Als dit niet de bedoeling is, kan hij dan toelichten 
hoe we deze artikelen dan wel zouden moeten lezen? 

Het College bescherming persoonsgegevens kan partijen 
nog wel opdragen om de betrokkene te informeren, maar 
dat zou onder het nieuwe wetsvoorstel geen enkele zin 
meer hebben. Een melding met ernstig nadelige gevolgen 
is bij voorbaat, en dus eigenlijk altijd, een ongunstig gevolg. 
De betrokkene moet dan al op de hoogte worden gebracht. 
Het probleem is juist dat het CBP zelf niet op de hoogte 
wordt gesteld van een melding met "slechts" ongunstige 
gevolgen, die niet ernstig zijn. Een partij wordt dan niet 
gestimuleerd om te leren van eventueel gemaakte fouten. 
De toezichthouder wordt immers niet meer in de gelegen¬ 
heid gesteld om te beoordelen of de getroffen technische 
beschermingsmaatregelen afdoende zijn? 

Waarom heeft de staatssecretaris het wetsvoorstel zo 
afgezwakt op dit punt? De oorspronkelijke formulering dat 
moet worden gemeld indien redelijkerwijs kan worden 
aangenomen dat het leidt tot een aanmerkelijke kans op 
nadelige gevolgen, is niet gestuit op kritiek van het College 
bescherming persoonsgegevens. Dat kan er dus mee wer¬ 
ken of in ieder geval de uitwerking vastleggen in richtsnoe¬ 
ren, zoals het altijd doet. Bovendien hebben we de meld¬ 
plicht in artikel 11, 3a, lid 1 van de Telecommunicatiewet, 
waarin wordt gesproken over nadelige gevolgen. Hier is 
niets ernstigs aan. Het woordje "ernstig" komt daar niet in 
voor. Waarom heeft de staatssecretaris hier niet bij aange¬ 
sloten? 

Ik kom op het volgende punt: de versleuteling van gege¬ 
vens. Het lekken van versleutelde gegevens hoeft namelijk 
ook niet te worden gemeld. Dat is toch vreemd? Versleu¬ 
telde gegevens zijn immers ook gewoon te ontsleutelen en 
niet per se onbruikbaar. Het werkt volgens de SP ook pre¬ 
ventief als duidelijk is dat dergelijke datalekken moeten 
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worden gemeld. Het is goed dat hierover het amendement 
op stuk nr. 14 is ingediend. Ik had dezelfde vraag als 
mevrouw Helder. Het CPB moet richtsnoeren opstellen over 
encryptie. Waarom wordt het Nationaal Cyber Security 
Centrum hier niet voor gevraagd? Dat heeft toch de exper¬ 
tise hiervoor? 

Nu de inbreuk op de beveiliging. In dit wetsvoorstel wordt 
gesproken over datalekken naar aanleiding van een inbreuk 
op de beveiliging. Wat is "inbreuk op de beveiliging" 
eigenlijk? Uit de antwoorden van de staatssecretaris heb ik 
begrepen dat elk datalek hieronder valt, omdat niemand zo 
dom is om zijn netwerk of systeem niet te beveiligen. Maar 
wat als iemand wel zo onverstandig is? Of er is dan geen 
sprake van een inbreukop de beveiliging, maar slechts van 
onbevoegde toegang. De staatssecretaris blijft hier naar de 
mening van mijn fractie een beetje vaag over. Hij stelt dat 
dergelijke voorbeelden het wettelijke kader van de 
bescherming van persoonsgegevens te buiten gaan. Dat is 
dus ook als de onbevoegde toegang leidt tot ernstige 
nadelige gevolgen voor betrokkenen. Gaat dat dan ook de 
werking van dit wetsvoorstel te buiten? Neem bijvoorbeeld 
ziekenhuispersoneel dat het wachtwoord weet van een arts 
en zo onbevoegd alle medische dossiers kan inzien. Er is 
dan geen beveiliging doorbroken, maar het kan zeker ern¬ 
stige nadelige gevolgen hebben. Een ander voorbeeld is 
een werkgever die zichzelf onbevoegd toegang verschaft 
tot de computer van zijn werknemer om informatie te ver¬ 
zamelen voor het ontslag van die werknemer. Weer een 
ander voorbeeld zijn medische gegevens. Graag een uitge¬ 
breide toelichting op dit punt. Wanneer is er sprake van 
een inbreuk op de beveiliging? 

Bedrijven en instanties die te maken hebben met een 
datalek hoeven dit niet bij te houden, hoe vaak het ook 
gebeurt. Dat maakt het voor het CBP lastig om overzicht te 
houden en om controle uit te oefenen. Het kan dit onmoge¬ 
lijk allemaal zelf bijhouden. Ook op die manier wordt toe¬ 
zicht houden lastiger. Graag een reactie op dit punt. Volgens 
mij biedt het amendement van de leden Schouw c.s. op 
stuk nr. 18 hier een oplossing voor. Graag hoor ik de 
staatssecretaris hierover. 

Ook de SP wil graag weten hoe deze wet zich verhoudt tot 
de Europese verordening bescherming persoonsgegevens. 
In deze verordening wordt gesproken van een inbreuk in 
verband met persoonsgegevens, maar niet van ernstige 
nadelige gevolgen. Deze verordening is nog niet in werking 
getreden, maar wat als dat wel gebeurt? Welke consequen¬ 
ties heeft dat voor deze wet? 

Nog enkele opmerkingen over de bestuurlijke boete en de 
bindende aanwijzing. De SP dringt al geruime tijd aan op 
een privacywaakhond met scherpe tanden; dus op een rui¬ 
mere boetebevoegdheid. Het CBP krijgt nu een bestuurlij- 
keboetebevoegdheid. De SP is daar blij mee, maar is dat 
niet helemaal met de manier waarop deze werkt. Een boete 
mag alleen direct worden opgelegd als er sprake is van een 
willens en wetens gepleegde opzettelijke overtreding van 
de Wet bescherming persoonsgegevens. Is die op deze 
manier geen dode letter geworden? Brengt dit geen 
onhaalbare bewijslast mee? Waarom alleen bij opzet? Als 
een soort tussenoplossing wordt op advies van de Raad 
van State een bindende aanwijzing mogelijk. Waar is dat 
voor nodig? Is het op die manier geen dode letter? We 
hebben namelijk al de last onder dwangsom. Ik zou denken 
dat het College Bescherming Persoonsgegevens een rode 


kaart moet kunnen geven en niet alleen een gele kaart. Ik 
had hetzelfde voorbeeld willen geven van het VUmc en de 
televisieopnames, maar dat is al uitgebreid beschreven. 
Het was niet met opzet gedaan, maar het was wel bijzonder 
slordig. Het CBP zou dan graag een bestuurlijke boete 
opleggen, want het kwaad is als geschied. De regering zou 
dan op grond van dit wetsvoorstel zeggen dat er eerst een 
bindende aanwijzing moet worden gegeven. Wat wil je dan 
nog opleggen? Dat ze de camerabeelden vernietigen? Die 
privacyschending kan dan niet meer ongedaan worden 
gemaakt. Er is geen directe boetebevoegdheid voor ernstige 
overtredingen waarbij geen opzet in het spel is. Wij denken 
dat dat wel goed zou zijn. Waarom kiest de staatssecretaris 
er niet voor om de boete mogelijk te maken als vaststaat 
of het zeer waarschijnlijk is dat de overtreder wist of had 
moeten weten dat hij de wet overtrad, dan wel dat hij 
zodanig onzorgvuldig, onachtzaam en onoordeelkundig 
handelde dat overtreding het onvermijdelijke gevolg zou 
zijn? Mocht dat dan niet zo zijn, hebben we altijd nog de 
last onder dwangsom. De bindende aanwijzing heeft 
bovendien alleen meerwaarde naast het andere instrumen¬ 
tarium, als een last onder dwangsom dus nog te vergaand 
is. Het College bescherming persoonsgegeven is nu ver¬ 
plicht het op te leggen. In ons voorstel zou het CBP dat zelf 
mogen bepalen. Ik hoor graag een reactie op dit idee. 

Een volgend argument is dat de conceptprivacyverordening 
geen verplichting bevat tot het opleggen van een bindende 
aanwijzing voorafgaand aan het opleggen van een boete. 
Waarom doen wij dit wel in Nederland? Hoe is dit in andere 
landen geregeld? Gelet op de vragen die ik hier nu opwerp, 
zal het niet verbazen dat wij positief staan tegenover het 
amendement van Schouw en Segers op stuk nr. 19. 

De richtsnoeren die het College bescherming persoonsge¬ 
gevens maakt, worden op dit moment breed ter consultatie 
voorgelegd. Ook het ministerie krijgt ze vooraf te zien. Het 
CBP houdt de eindverantwoordelijkheid. Dit heeft, voor 
zover ik weet, nooit tot kritiek geleid. De regering eist nu 
dat ze richtsnoeren van het CBP vooraf kunnen toetsen. 
Waarom nu deze inmenging? Waar is dit voor nodig? De 
regering en de Raad van State vinden dat het CBP een ver¬ 
regaande boetebevoegdheid moet krijgen. Bescherming 
van persoonsgegevens is een grondrecht en daarom zou 
overheidsinmenging op deze schaal gegrond zijn. De SP 
ziet dit anders. Het CBP is een onafhankelijke toezichthou¬ 
der, ook omdat het toezicht houdt op de overheid zelf. Het 
is de rechter die het CBP kan controleren. Heeft deze vol¬ 
gens de staatssecretaris weleens moeten ingrijpen, waar¬ 
door inmenging vooraf nu vereist is? Waarom wordt hier 
nu voor gekozen? 

Bovendien lijkt dit strijdig met het onafhankelijkheidsver- 
eiste dat is neergelegd in artikel 28 van de Europese priva- 
cyrichtlijn en in relevante jurisprudentie van het Europese 
Hof. Volgens het College bescherming persoonsgegevens 
zal deze bepaling kunnen leiden tot een inbreukprocedure. 
Dat is heftig. Wat vindt de staatssecretaris ervan als dit zo 
zou zijn? Hoe schat hij dat risico in? Zo moet ik het eigenlijk 
vragen. Ik kan hier alvast melden dat er een amendement 
is dat onze warme sympathie heeft, het betreft amende- 
ment-Segers/Schouw op stuk nr. 13. 

Tot slot enkele opmerkingen over de capaciteit van het 
College bescherming persoonsgegevens. Het heeft nu 
ongeveer 125 medewerkers. Dat is niet bijster veel. Hoe zit 
dit bij toezichthouders, privacywaakhonden, in andere lan- 
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den? Klopt het dat deze naar verhouding meer capaciteit 
hebben? Het CBP heeft geadviseerd om op korte termijn 
de beheersmatige gevolgen van de invoering van de 
meldplicht in kaart te brengen en de uitkomsten tot uiting 
te laten komen in het budget van het College bescherming 
persoonsgegevens. Dit is niet gebeurd. Het CBP heeft het 
nu al heel druk. De staatssecretaris verwacht dat de gevol¬ 
gen van dit wetsvoorstel summier zijn. Dit zegt overigens 
genoeg over de reikwijdte van de meldplicht en de 
bestuurlijke boete. Wat bedoelt hij met "summier"? Kan hij 
daar nader op ingaan? Hoe wordt dit in de gaten gehouden? 
Wanneer wordt het geëvalueerd? Is de regering bereid om 
bij te schieten als blijkt dat het college, door de invoering 
van deze wet, niet uitkomt met de huidige hoeveelheid 
mensen? 

Ik heb gelezen dat wij, een jaar na inwerkingtreding van de 
Europese verordening gegevensbescherming, een verslag 
krijgen over de doeltreffendheid en de effecten van deze 
wet in de praktijk. Het eerste probleem is volgens mij dat 
wij niet weten wanneer dat zal zijn, want de onderhandelin- 
gen gaan nog niet razendsnel. Ik druk mij dan nog voorzich¬ 
tig uit. De tweede vraag is of er bij dat verslag op dat 
moment ook echt wordt gekeken naar de capaciteit van het 
College bescherming persoonsgegevens en of die aansluit 
bij de hoeveelheid mensen die er zijn in verhouding tot de 
hoeveelheid werk die dit wetsvoorstel heeft opgeleverd. 

De heer Van Wijngaarden (VVD): 

De vraag is eigenlijk of de SP vindt dat hetgeen de mensen 
op hun bankrekening hebben staan tot de privésfeer 
behoort. 


De heer Van Nispen (SP): 
Ik zou menen van wel. 


De heer Van Wijngaarden (VVD): 

Hoe verklaart u dan het voorstel van uw collega Merkies 
om een vermogensregister verplicht te stellen waarin indi¬ 
viduen moeten aangeven hoeveel vermogen ze hebben en 
hoeveel winst ze daarop maken, zoals dat heel onlangs is 
gedaan? 


De heer Van Nispen (SP): 

Ik heb inderdaad gehoord dat mijn collega Merkies dat 
voorstel heeft gedaan. Ik vind het lastig om daar nu op deze 
manier antwoord op te geven. Ik denk dat het goed is dat 
er ook naar de privacyaspecten wordt gekeken. Dat lijkt me 
voor de hand liggend. Wij doen dat met heel veel voorstel¬ 
len. Ik denk dat de heer Van Wijngaarden ook wel weet wat 
de achtergrond van dat voorstel is, onze fractie kennende. 
Wij willen natuurlijk iets doen aan de scheve vermogens¬ 
verdeling in Nederland. Nogmaals, er moet altijd, wat er 
ook voorgesteld wordt, gekeken worden naar de privacyas¬ 
pecten. 

n 

De heer Bisschop (SGP): 

Voorzitter. Op allerlei manieren worden gegevens van per¬ 
sonen verwerkt door overheden en andere organisaties. 
Dat gebeurt al zolang er overheden en andere organisaties 
zijn. In onze gedigitaliseerde maatschappij zijn de hoeveel¬ 


heden info wel exponentieel toegenomen. Naast alle mooie 
kanten die dit biedt, zoals verlichting van administratieve 
lasten, vereenvoudiging van processen enzovoorts, zijn er 
ook schaduwkanten. Vanmiddag hebben wij het over zo'n 
schaduwkant. Hoe kan worden voorkomen dat wordt inge¬ 
broken in gegevensbestanden of dat die misbruikt worden 
als er fouten zijn gemaakt? Er kunnen immers belangrijke 
persoonlijke of financiële gegevens in het spel zijn. 

Ik wil een drietal punten aan de orde stellen. In de eerste 
plaats zal ik ingaan op de meldplicht, in de tweede plaats 
zal ik ingaan op de sancties en in de derde plaats zal ik nog 
enige woorden wijden aan preventie. 

Ik begin met de meldplicht. Goede bescherming van de 
gegevens is absoluut nodig. De SGP vindt het dan ook een 
goede zaak dat het in bepaalde gevallen noodzakelijk is om 
een datalekte melden. Daar noodzaakt dit wetsvoorstel toe. 
Dit biedt de mogelijkheid om, waar nodig, het vertrouwen 
van het publiek, de klanten, de markt, de overheid of de 
toezichthouders in de betreffende instelling of het betref¬ 
fende bedrijf te herstellen of te bevestigen. 

In de schriftelijke rondes is het voorstel op diverse punten 
bekritiseerd. De SGP heeft de indruk dat het uiteindelijke 
voorstel daardoor is verbeterd. De normen zijn verduidelijkt 
en geven minder vaag aan wie wat wanneer moet melden 
en in welke gevallen. Een van de discussiepunten daarbij 
is de vraag of er in alle gevallen een melding nodig is of 
alleen als er sprake is van bepaalde risico's. De SGP is van 
mening dat de in de eerste nota van wijziging voorgestelde 
clausule om het te beperken tot meldingen die ernstige 
nadelige gevolgen hebben voor de beveiliging van persoons¬ 
gegevens, een goed criterium biedt. Het voert naar onze 
mening te ver om letterlijk iedere kleine problematiek te 
melden. Dat maakt het voor betrokkenen belastend. Het 
roept onnodige twijfels op over de betrouwbaarheid van 
systemen en belast tevens nodeloos het College bescher¬ 
ming persoonsgegevens. Een bepaalde schifting op voor¬ 
hand lijkt ons noodzakelijk. Zijn er wel of geen wezenlijke 
gevolgen te vrezen voor de betrokkenen? 

De uitzondering voor een meldplicht van versleutelde 
gegevens in de eerste nota van wijziging roept nog vragen 
op bij de SGP Op zichzelf biedt versleuteling van gegevens 
een beter beschermingspeil dan onversleutelde gegevens, 
maar er blijven nog steeds risico's bestaan. Is het altijd 
duidelijk wanneer er passende maatregelen genomen zijn? 
In haar antwoorden op vragen van de Kamer geeft de 
regering aan dat de uitzondering een strenge norm is. Bij 
geconstateerde problemen rond de beveiliging ontstaat 
dan alsnog een verplichting tot melding. Biedt het begrip 
"passend" in alle gevallen voldoende duidelijkheid? 

Dan kom ik op mijn tweede punt, de sancties. De normen 
uit de wet vragen om een nadere verduidelijking in de 
praktijk. Het is niet meer dan logisch dat het CBP hiervoor 
richtsnoeren ontwikkelt. De vraag is wel of die richtsnoeren 
niet op de een of andere manier in de wet verankerd moeten 
worden, zodat de basisregels in ieder geval via wet en 
AMvB voor eenieder kenbaar zijn. De regering geeft aan 
dat zij hiervoor niet wil kiezen. In de tweede nota van wijzi¬ 
ging is er in artikel 67 wel indirect iets voor geregeld. De 
beleidsregels waarop strafmaatregelen mogelijk zijn, 
behoeven namelijk wel de goedkeuring van de minister. 
Het lijkt erop dat dit een wat bijzondere constructie oplevert, 
waarbij er niet letterlijk sprake is van een AMvB met regels 
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maar wel van goedgekeurde regels door de minister. 
Waarom is voor deze ietwat bijzondere constructie gekozen? 

Dat is ook ons belangrijkste aandachtspunt bij de tweede 
nota van wijziging, waarin een uitbreiding wordt voorge¬ 
steld van de mogelijkheden van het gebruik van een 
bestuurlijke boete door het CBR Dat die mogelijkheid er is, 
steunen we. Het is goed als de normen op adequate wijze 
gehandhaafd kunnen worden, zo nodig door middel van 
zo'n bestuurlijke boete. In hoeverre is het echter aanvaard¬ 
baar — daarmee sluit ik aan bij een vraag die een van de 
collega's al heeft gesteld — dat normstelling en sanctione¬ 
ring in één hand liggen? Is er intussen meer duidelijkheid 
over de vraag of dit Europeesrechtelijk gezien wel kan? Is 
de voorgestelde regeling naar het oordeel van de staatsse¬ 
cretaris afdoende? 

Mijn derde punt betreft preventie. Vooral voor overheidsin¬ 
stellingen moet het duidelijk zijn dat in alle gevallen moet 
worden voorkomen dat persoonlijke gegevens op straat 
komen te liggen. Op deze instellingen rust een bijzondere 
verantwoordelijkheid. Zij hebben een voorbeeldfunctie, zou 
je kunnen zeggen. Is de staatssecretaris er zeker van dat al 
zijn collega's zich hier altijd voldoende rekenschap van 
geven? Betekent dit wetsvoorstel voor de overheidsinstel¬ 
lingen daadwerkelijk een groter bewustzijn van de risico's? 

Daarnaast vragen wij aandacht voor voorlichting over de 
risico's en de oplossingen hiervoor. De SGP roept de 
staatssecretaris ertoe op om publiek en bedrijven hier blij¬ 
vend op te wijzen om zo de maatschappelijke alertheid te 
bevorderen. Ook het CBP kan op dit punt een belangrijke 
functie vervullen. Deelt de staatssecretaris die benadering? 

We kunnen er niet omheen: soms werken mensen zelf mee 
aan het beschikbaar stellen van hun meest persoonlijke 
gegevens, bijvoorbeeld door het invullen van een enquête¬ 
formulier van 26 pagina's, waarin hun gevraagd wordt naar 
hun voorkeuren, bezit, aankopen, schulden enzovoorts. Die 
gegevens worden dan netjes op postcode in databases 
ondergebracht. De beloning voor het invullen van zo'n 
enquête — ik heb dat nooit gedaan, maar ik vermoed dat 
dit op zijn minst een halfuur tijd vergt — is het potloodje 
dat op voorhand is meegeleverd. Misschien kan de staats¬ 
secretaris dat potloodje gebruiken als symbool in een 
campagne om de maatschappelijk alertheid op bescherming 
van persoonlijke gegevens te bevorderen. 

□ 

De heer Van Wijngaarden (VVD): 

Voorzitter. Ik begin graag met een vraag. Wat is de overeen¬ 
komst tussen het hebben van privacy en het hebben van 
een fiets? Ik moet wel zeggen dat ik deze vraag vanuit mijn 
enigszins gekleurde Amsterdamse perspectief behandel. 
Zoals men weet, zijn Amsterdammers allesbehalve zuinig 
op hun fiets, totdat hun fiets is verdwenen. Dan is de wereld 
te klein. Met privacy is het niet veel anders. Ook hierover 
maken mensen zich niet dagelijks druk. We gaan bijna 
allemaal akkoord met de privacyvoorwaarden van apps en 
spelletjes op telefoons zonder die gezien te hebben. Een 
vrouw ging zelfs akkoord met privacyvoorwaarden waarin 
bij wijze van grap stond dat zij haar kind zou weggeven, 
wat zij niet gezien had. Als echter blijkt dat privégegevens 
niet meer privé zijn, slaat de stemming snel om en dat is 
terecht. Niettemin is het ook terecht en begrijpelijk dat pri¬ 
vacy voor de meeste mensen niet op de eerste plaats komt 


van zaken waar zij zich dagelijks zorgen over maken. Hoewel 
mensen er ook zelf verantwoordelijk voor zijn om na te 
denken over de vraag welke gegevens zij met wie delen, 
kun je redelijkerwijs ook weer niet van hen verwachten dat 
zij toezicht houden op de manier waarop overheden en 
bedrijven met hun persoonsgegevens omgaan. Juist om 
die reden hebben we een instantie als het CBP, dat straks 
de naam Autoriteit persoonsgegevens krijgt, als het zo mag 
blijven heten. 

De VVD-fractie waardeert het dat in dit wetsvoorstel wordt 
onderschreven dat het CBP er primair is om datalekken te 
helpen voorkomen en dichten, en niet om zo veel mogelijk 
boetes uit te delen. We willen een privacymachine, en geen 
boetemachine. Het is goed dat overheidsinstellingen en 
bedrijven daarom in beginsel eerst een herstelmogelijkheid 
krijgen via de appellabele dwingende aanwijzing. Met 
boetes dicht je tenslotte geen datalekken. De VVD hecht er 
sterk aan dat risico's in de beveiliging van gegevens die 
niet noemenswaardig zijn, niet gemeld hoeven te worden. 
Op een meldingencircus zit niemand te wachten. Hierdoor 
blijven de potentiële administratieve lasten voor het 
bedrijfsleven en de overheden beperkt tot gevallen waarin 
de privacy van het individu daadwerkelijk in het geding is. 
Het moet echt gaan om het verdwijnen van persoonsgege¬ 
vens of een ongeautoriseerde toegang tot die gegevens 
waarbij gevreesd moet worden voor nadelige gevolgen. 

Ik heb nog enkele openstaande vragen. Hoe verhoudt de 
eis van ministeriële goedkeuring van beleidsregels van het 
CBP die inhoud geven aan een boete, zich tot de eis van 
een afhankelijke privacyautoriteit? De leden Segers en 
Schouw hebben op dit punt een amendement ingediend. 
In mijn ogen gaat het hier om het vinden van het juiste 
evenwicht. Aan de ene kant van de weegschaal ligt de 
opmerking van de Raad van State dat een bewindspersoon 
verantwoordelijken betrokken moet zijn. De Raad van State 
benadrukt in mijn ogen terecht dat het hier gaat om een 
grondrechtelijke aangelegenheid die de hele samenleving 
raakt. Aan de andere kant van de weegschaal attendeert 
het CBP ons echter op indringende wijze op de onafhanke- 
lijkheidseis die is neergelegd in artikel 28 van de Europese 
privacyrichtlijn en in de rechtsspraak van het Europees Hof 
van Justitie. De EU discussieert hier nog over, dus ik wil 
graag een visie van de staatssecretaris op dit punt. 

Zoals gezegd discussieert de EU nog over een nieuwe ver¬ 
ordening gegevensbescherming. Ik wil destaatssecretaris 
bij dezen vragen om het voorliggende wetsvoorstel te ver¬ 
gelijken met de definitieve inhoud van deze verordening 
zodra die bekend is, teneinde onwenselijke nationale koppen 
te voorkomen. Is hij daartoe bereid? De onderhandelingen 
over het Europese traject zijn overigens nog volop gaande. 
Een eventuele inwerkingtreding zal niet plaatsvinden voor 
2018. 

Ik wil de staatssecretaris graag vragen hoe de samenwer¬ 
king tussen het CBP en het Cyber Security Center geborgd 
is, zodat snel en goed kan worden ingespeeld op privacyri- 
sico's die samenhangen met nieuwe vormen van techniek 
waarmee data-analyse mogelijk is. Is die samenwerking 
structureel geborgd? Kan het CBP ook echt rekenen op 
volledige medewerking van het Cyber Security Center? Data 
die voorheen als ongevoelig werden beschouwd, kunnen 
door middel van nieuwe analyse mogelijk alsnog gevoelig 
worden. 
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Ik kom op het publicatie- en persbeleid van het CBR Uitla¬ 
tingen van het CBP kunnen grote gevolgen hebben voor 
de reputatie van een bedrijf of een overheidsinstelling. Dat 
is vaak onvermijdelijk. Het is echter onwenselijk als er, 
boven op de punitieve maatregel van een boete, vermijd¬ 
bare publicitaire schade zou optreden. Daarom wijs ik er 
graag op dat de huidige beleidsregels voor openbaarmaking 
door het CBP, die zijn gepubliceerd in de Staatscourant van 
14 november 2013, nr. 31433, logischerwijs nog niet voor¬ 
zien in een openbaarmakingsbeleid ten aanzien van de 
bestuurlijke boete. Die bevoegdheid is immers nog niet aan 
het CBP toegekend. De vraag is zodoende: op welke wijze 
zal het CBP de belangen van de partijen straks afwegen? 
Wat is een passende wijze om een boetebesluit zo objectief 
mogelijk te publiceren? Is de staatssecretaris bereid om het 
CBP te vragen om de Kamer te informeren over de wijze 
waarop de Autoriteit persoonsgegevens straks inhoud geeft 
aan het publicatiebeleid alvorens deze wet van kracht 
wordt? 

Ik kom op de toelichting op de amendementen. De VVD 
heeft samen met de Partij van de Arbeid en D66 een 
amendement ingediend over datalekken met versleutelde 
gegevens. Door de collega's werd daar al even aan gerefe¬ 
reerd. Bij een lek van versleutelde gegevens hoeft het CBP 
volgens het voorliggende voorstel niet geïnformeerd te 
worden. Dat vind ik een gemis. Versleutelde persoonsgege¬ 
vens zijn in de regel juist extra gevoelig. Denk bijvoorbeeld 
aan e-mail-, creditcard- of bankgegevens. Versleutelde 
gegevens kunnen bovendien ontsleuteld worden en een 
lek van deze gegevens kan iets zeggen over het beveiligings¬ 
niveau bij een overheidsinstelling of bedrijf. 

De VVD heeft verder samen met de PvdA een amendement 
ingediend om het CBP ook de mogelijkheid geven, in 
bepaalde gevallen direct een boete op te leggen. Soms is 
een waarschuwing namelijk niet genoeg. Waar het gaat om 
heel gevoelige persoonsgegevens, zoals medische gege¬ 
vens, moet het CBP al helemaal volle slagkracht hebben. 

Om de urgentie en het belang van ons amendement te 
illustreren, noem ik graag enkele voorbeelden. Het voor¬ 
beeld van het VUmc is al uitgebreid aan de orde gekomen. 
Dat zal ik hier dus niet herhalen. Die casus is inmiddels 
bekend. 

Een ander voorbeeld is de arboarts. Je spreekt met de 
arboarts op je werk, omdat je last hebt van zware depres¬ 
sieve klachten en je tijdelijk minder wilt werken. Je legt je 
hele hebben en houden op tafel. Nadat het gesprek is 
beëindigd en de arboarts alles heeft verwerkt in het dossier, 
stuurt de arts dat dossier per e-mail naar de werkgever. Dat 
gebeurt niet één keer, maar systematisch. Dat is als het 
ware het verdienmodel van die arbodienst. 

Weer een ander voorbeeld is een zaak die in de VS speelde, 
maar die in afgezwakte vorm ook in Nederland heeft 
gespeeld. Het betrof een website die geheel op kinderen 
was gericht, waarbij het kind als het eenmaal was ingelogd, 
tien punten kreeg om een beestje naar keuze te voederen 
en te onderhouden. Elke keer als het kind weer inlogde, 
kwam het gekozen beestje in beeld, vaak hongerig en/of 
kwispelend. Als het kind na verloop van tijd door zijn punten 
heen was, kon het met het beantwoorden van vragen 
nieuwe punten verdienen om het beestje te blijven voeren. 
Dat was bijvoorbeeld een vraag naar de naam, het adres, 
het e-mailadres en het rekeningnummer van de ouders. 


Nogmaals, het ging hier om een website die was gericht 
op kinderen. Indien het kind geen vragen beantwoordde 
en toch de website af en toe aanklikte, zag het het gekozen 
beestje langzaam wegkwijnen en doodgaan. 

Tegen iemand die dronken met 170 km/u over de snelweg 
rijdt, zegt de agent ook niet: volgende keer niet meer doen. 
Wij hebben dit amendement ingediend om in heel ernstige 
gevallen direct een boete op te kunnen leggen. 

De heer Schouw (D66): 

Ik begrijp dat deze drie voorbeelden passen binnen het 
begrip "ernstig verwijtbare nalatigheid". Begrijp ik dat goed? 

De heer Van Wijngaarden (VVD): 

Ja, dat is naar onze overtuiging het geval. Die opsomming 
van voorbeelden is natuurlijk niet uitputtend, maar ik wil 
hier ook niet vervallen in een eindeloze verhandeling van 
allerlei casuïstiek. 


De heer Schouw (D66): 

Ik vind dat de voorbeelden nogal willekeurig overkomen. 
De heer Van Wijngaarden zegt erg gemakkelijk: dat valt 
hieronder. We zijn bezig met een wetsbehandeling. Er is 
een amendement van de Partij van de Arbeid en de VVD 
waarmee wordt geprobeerd om een wat willekeurige for¬ 
mulering in die wette brengen. Mijn vervolgvraag luidt: als 
die drie voorbeelden er kennelijk wel ondervallen, wat valt 
er dan niet onder? Waar ligt de scheidslijn tussen ernstig 
verwijtbare nalatigheid en gewone verwijtbare nalatigheid? 


De heer Van Wijngaarden (VVD): 

Het is in de eerste plaats van belang dat er op het niveau 
van de formele wet duidelijkheid komt over de situaties 
waarvan wij zeggen dat die eronder zouden moeten vallen. 
Daar geven wij hier criteria voor. Daarover staat een uitleg 
in de toelichting. Voor het overige zal het CBP moeten doen 
wat het altijd doet, namelijk dit uitwerken in richtsnoeren 
en publiceren. 

De voorzitter: 

Ik sta de heer Schouw bij uitzondering een derde keer toe. 
De heer Schouw (D66): 

Dat is nu precies waar ik naartoe wil. Er zit iets dubbelhar¬ 
tigs in. De heer Van Wijngaarden zegt dat het Cbp dat in 
richtlijnen moet uitwerken, omdat we dat hebben afgespro¬ 
ken. Maar waarom zou je dan aan de voorkant, via zo'n 
vage formulering waarmee je alle kanten op kunt, de zaak 
toch complex en ingewikkelder maken? Dat begrijp ik niet, 
omdat we hier dadelijk ook nog over de verdere uitwerking 
in richtsnoeren kunnen praten. Dus waarom moet dit nu 
aan de voorkant worden gecompliceerd? 


De heer Van Wijngaarden (VVD): 

U noemt dat complicerend, ik stel dat het een verbetering 
is van de rechtszekerheid doordat je op het niveau van de 
formele wet duidelijkheid creëert over het type situaties dat 
hieronder valt. Ik verwijs u naar de toelichting in het 
amendement. Het moet gaan om gevolgen van grof, aan- 
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zienlijk, onzorgvuldig, onachtzaam, dan wel onoordeelkun¬ 
dig handelen. Dat is een brede set aan criteria. De verdere 
invulling daarvan zal zoals altijd door het Cbp zelf moeten 
worden gegeven. Door dit op het niveau van de formele 
wet te regelen, komen we ook tegemoet aan de kritiek van 
de Raad van State, die zei dat dit op het niveau van de for¬ 
mele wet moet worden geregeld om het rechtszekerheids¬ 
beginsel in te bouwen. Bovendien wordt het wetsvoorstel 
daardoor ook kansrijker in de Eerste Kamer, want wij voelen 
er niets voor om een heel vage bevoegdheid te creëren. 
Vandaar de heldere toelichting in het amendement. 


De heer Oskam (CDA): 

De heer Schouw heeft natuurlijk een punt, maar wat ik 
eigenlijk mis in de toelichting van de heer Van Wijngaarden 
is het vijfde lid van artikel 66, namelijk waar hij met 
mevrouw Oosenbrug beoogt een boete te kunnen opleggen 
bij niet-nakoming van de bindende aanwijzing. Heb ik het 
goed begrepen dat het niet-nakomen van de bindende 
aanwijzing eigenlijk een boetewaardig feit op zich is? Of 
moet ik het zo zien dat die boete wordt opgelegd voor de 
onderliggende gedraging? Graag krijg ik daarop een toelich¬ 
ting. 


De heer Van Wijngaarden (VVD): 

Voor niet-nakoming van de bindende aanwijzing ligt een 
amendement, dat net ook al is toegelicht. Dus daarmee 
wordt dat punt geadresseerd. 


De heer Oskam (CDA): 

Dat is dan duidelijk. Dan heb ik misschien nog wel een 
suggestie voor de heer Van Wijngaarden en mevrouw 
Oosenbrug. Collega Van Nispen zei net dat je als het mis¬ 
gaat bijvoorbeeld de beelden kunt vernietigen. Maar er zijn 
natuurlijk ook andere voorbeelden te bedenken, namelijk 
dat het College bescherming persoonsgegevens zegt: "u 
moet veiligheidsmaatregelen nemen, u moet de slachtoffers 
compenseren of ze anderszins tegemoetkomen. Als u dat 
niet doet, kunt u in dit amendement zien dat u daarvoor 
een boete krijgt". Zou het niet beter zijn om bijvoorbeeld 
aan een bindende voorwaarde een voorwaardelijke boete 
op te leggen? Dat moet niet maar het zou dan wel kunnen. 
Dan is het transparanter, dan valt het beter en dan weet je 
ook waarvoor je die boete krijgt, namelijk dat je lekt, dat je 
zorgt voor problemen door middel van een datalek. Eigenlijk 
moet je daarvoor een boete krijgen, maar dan zegt het Cbp 
dat je de kans krijgt om het op te lossen of in ieder geval 
herhaling te voorkomen. Doe je dat niet, dan moetje alsnog 
die boete betalen. Dan is het veel duidelijker voor het bedrijf 
waarvoor men het doet en waarvoor men ook probeert het 
herstel te plegen dan te zeggen dat je de norm hebt over¬ 
schreden en niet hebt geluisterd naar de heer Kohnstamm 
en dat je daarom die boete krijgt. Dat lijkt me dan veel zui¬ 
verder. Wat vindt u van dit idee? 


De heer Van Wijngaarden (VVD): 

Volgens mij wordt de heer Oskam op zijn wenken bediend 
met dit wetsvoorstel, omdat juist dit wetsvoorstel in 
beginsel zegt: we geven een bindende aanwijzing met als 
doel dat het datalek wordt gedicht, niet om een boete op 
te leggen. Dan is het lek hersteld en volgt er helemaal geen 
boete. Alleen in de heel ernstige gevallen is er ook een lik- 


op-stukbeleid nodig, daarover zijn we het volgens mij ook 
allemaal eens. 


De voorzitter: 

Mijnheer Oskam, ook voor u maak ik een uitzondering. Als 
je er eenmaal aan begint, moet je consequent zijn. 

De heer Oskam (CDA): 

Sorry, voorzitter, maar dit vraagt om een reactie. Materieel 
komt het natuurlijk op hetzelfde neer, het is alleen de 
onderliggende gedachte, namelijk dat op fout gedrag een 
boete hoort. Het Cbp krijgt de mogelijkheid om voorwaar¬ 
den en termijnen te stellen. Als je niet aan die voorwaarden 
voldoet, zou het logisch zijn dat die boete wordt geëffectu¬ 
eerd. Maar ik vind het iets anders dan wanneer je zegt: je 
luistert niet naar het Cbp en daarom krijg je een boete. Dat 
zou minder goed voelen dan mijn voorstel. 


De heer Van Wijngaarden (VVD): 

Wat wij hier zien, is toch een verschil van inzicht tussen de 
heer Oskam en mij. Hij zegt dat op fout gedrag een boete 
hoort. Ik zeg dat je fout gedrag moet omzetten in goed 
gedrag. Het is ook de rol van het CBP als deskundig toezicht¬ 
houder om dat te stimuleren en daartoe aan te zetten. Als 
iemand onverhoopt echt hardleers is — ik denk dat dat in 
de praktijk niet zo heel vaak zal voorkomen — dan is er die 
stok achter de deur van de boete. 


De heer Segers (ChristenUnie): 

Ik probeer de ratio te achterhalen achter de formulering die 
is gekozen in het amendement op stuk nr. 16, over de boe- 
tebevoegdheid. Daarin is gekozen voor de formulering dat 
het moet gaan om een gevolg van ernstig verwijtbare 
nalatigheid. Wat betekent dat precies? We hebben nu een 
aantal casussen voorbij horen komen. Als er wordt 
gesproken van nalatigheid, valt handelen daar dan ook 
onder? Als je iets nalaat, is er iets wat je niet doet. Maar 
valt handelen er ook onder? Wat is het verschil tussen 
"ernstig verwijtbaar" en "verwijtbaar"? Iets kan verwijtbaar 
zijn, maar als het niet ernstig verwijtbaar is, mag er geen 
boete worden opgelegd. Wat is precies de ratio achter deze 
formulering? 


De heer Van Wijngaarden (VVD): 

Ik denk dat wij ontzettend voorzichtig moeten zijn met het 
creëren van een te ruime en te gemakkelijke lik-op-stukboe- 
tebevoegdheid. Het is een beetje de klassieke vraag van 
het Juvenalis Dilemma: wie bewaakt de bewakers? Het CBP 
is onze bewaker en wij moeten het CBP bewaken. Ik denk 
dus dat we voorzichtig moeten zijn met het creëren van een 
te ruime algemene lik-op-stukboetebevoegdheid, vandaar 
de toevoeging van het woord "ernstig". Het moet niet 
zomaar verwijtbaar zijn, maar het moet ernstig verwijtbaar 
zijn. Ik heb twee casussen genoemd in aanvulling op de 
casus van het VU medisch centrum. Dit is dus de ratio 
achter de toevoeging van het woord "ernstig". 

De heer Segers (ChristenUnie): 

Het is mij niet helder waar we de grens overgaan wat betreft 
verwijtbare nalatigheid of verwijtbaar handelen. Nogmaals 
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vraag ik: is dat hetzelfde? Waar houdt dat op en begint 
ernstig verwijtbare nalatigheid? Kan de heer Van Wijngaar¬ 
den dat helder schetsen? Kan hij daarbij meenemen dat het 
CBP zegt: hier kunnen wij moeilijk mee uit de voeten? 
Waarom zouden we niet wachten op beleidsregels, die we 
inderdaad nog kunnen bespreken? Waarom zouden we het 
niet de vrijheid geven om tanden te ontwikkelen? Bij zo'n 
belangrijk onderwerp en zo'n belangrijke waarde als privacy, 
hebben we immers een goede waakhond nodig. 


De heer Van Wijngaarden (VVD): 

Maar er is ook nog een andere waarde, namelijk de waarde 
van rechtszekerheid. Ik heb daar net op gewezen. Je moet 
ervoor oppassen dat je van die waakhond een pitbull maakt 
die je te pas en te onpas op iedereen kunt afsturen. 

Wat betreft het punt van nalaten: nalaten is ook een vorm 
van handelen. Dank voor die vraag! In de toelichting staat 
ook: "dat wil zeggen het gevolg is van grof, aanzienlijk 
onzorgvuldig, onachtzaam dan wel onoordeelkundig han¬ 
delen". Met nalaten wordt dus ook handelen bedoeld. 


De heer Segers (ChristenUnie): 

Ik had nog een andere vraag, voorzitter. 

De voorzitter: 

Omdat het hierbij gaat om een verheldering van een 
amendement, geef ik wat extra ruimte, dus ook aan u. 

De heer Segers (ChristenUnie): 

Ik had de heer Van Wijngaarden nog gevraagd: schets nou 
eens precies waar verwijtbaar handelen ophoudt en ernstig 
verwijtbaar handelen begint. 

De heer Van Wijngaarden (VVD): 

Voor het precieze antwoord op die vraag hebben we 
natuurlijk het CBR Anders zou ik het bij wijze van spreken 
in mijn eentje kunnen gaan doen. Ik hoorde net dat daar 
150 mensen zijn. Die zitten daar niet voor niks. Het is juist 
hun deskundigheid om dat soort zaken te beoordelen. 

De voorzitter: 

Mijnheer Van Wijngaarden, was u aan het einde van uw 
termijn? 

De heer Van Wijngaarden (VVD): 

Nee, ik wilde eigenlijk naar een afronding gaan. 


De voorzitter: 

Gaat u verder. 


De heer Van Wijngaarden (VVD): 

Ik rond af. De bescherming van persoonsgegevens is niet 
toevallig een grondrechtelijke aangelegenheid. Dat is een 
extra reden, die ook de Raad van State heeft aangegeven, 
om zaken op het niveau van de formele wet te regelen. 
Artikel 10 van de Grondwet draagt ons als wetgever op om 


de persoonlijke levenssfeer te beschermen. Dit wetsvoorstel 
is uiteindelijk een afgeleide van die opdracht. De kernvraag 
bij privacy is misschien wel het beste gesteld door hoogle¬ 
raar Koops van de Universiteit Tilburg, hoewel ik weet dat 
je tegenwoordig "Tilburg University" moet zeggen van de 
universiteit. Volgens deze hoogleraar is de vraag: wat 
mogen anderen van ons weten? Over die vraag moet je zo 
veel mogelijk zelf beslissen. Privacy is een pijler van de 
rechtsstaat en staat daarom terecht in de Grondwet. Zonder 
privacy belanden wij in een samenleving waarin de ene 
mens is onderworpen aan de informatiemacht van de 
andere. Dit wetsvoorstel helpt zo'n maatschappij te voorko¬ 
men. Er moet ergens een plek zijn waar je niet wordt 
bespied. Waar je alleen met jezelf kunt zijn, of intiem met 
een ander, waarover je geen verantwoording schuldig bent 
en waarbij je vrij bent van andermans morele oordelen. 
Een plek waar je onbevangen jezelf kunt zijn, geheimen 
kunt koesteren en ongezien in je dagboek kunt schrijven. 
Privacy is daarvoor de waarborg. 


De heer Schouw (D66): 

De VVD verraadde zichzelf net een beetje. De heer Van 
Wijngaarden zei: wij hebben helemaal geen behoefte aan 
een pitbull. Dat is interessant, want de Partij van de Arbeid 
roept nu in allerlei persberichten "wij hebben nu echt een 
pitbull met tanden". De heer Van Wijngaarden zegt: ik heb 
een beetje listig amendement ingediend om er een 
schoothondje van te maken, want ik ben bang dat er te pas 
en te onpas wordt opgetreden. Dank voor de openhartig¬ 
heid. Dank ook voor het eerlijke motief voor dit amende¬ 
ment. De VVD-fractie heeft helemaal geen behoefte aan 
een College bescherming persoonsgegevens dat kan 
doorbijten. Mijn vraag is hoe de heer Van Wijngaarden het 
in zijn hoofd haalt om in dezelfde zin over die pitbull te 
zeggen dat er anders te pas en te onpas boetes zullen 
worden uitgedeeld. Dat begrijp ik niet. Wij hebben allemaal 
brieven gekregen van het College bescherming persoons¬ 
gegevens, waarin het college heel precies aangeeft onder 
welke condities het dit wil doen. Uit welke alinea heeft de 
heer Van Wijngaarden gelezen dat het CBP te pas en te 
onpas boetes wil gaan uitdelen? 


De heer Van Wijngaarden (VVD): 

Ik heb niet gezegd dat het CBP dat zal doen of wil doen. Ik 
heb gezegd dat, op het moment dat je een te ruime alge¬ 
mene bevoegdheid creëert om lik-op-stukboetes uit te delen, 
het CBP dit kan doen. Wij hebben als wetgever enerzijds 
de taak om er op te letten dat de macht van een toezicht¬ 
houder scherp genoeg is om te kunnen doorbijten. Een 
waakhond met tanden is prima, daar zijn wij het allemaal 
over eens en daarom verruimen wij de lik-op-stukboetebe- 
voegdheid. Anderzijds hebben wij de plicht — daartoe 
aangespoord door de Raad van State — om erop te letten 
dat wij die macht niet onnodig groot maken. De kern van 
het wetsvoorstel is nu juist datje eerst de bindende aanwij¬ 
zing hebt, in de trant van: probeer uw leven te beteren en 
probeer het datalekte dichten. Als het echt niet lukt en als 
je je plicht verzaakt, is een boete mogelijk. Voor de heel 
ernstige gevallen is de lik-op-stukboete bedoeld. 

De heer Schouw (D66): 

Mijn conclusie is echt niet anders dan dat met dit amende¬ 
ment het College bescherming persoonsgegevens aan de 
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ketting wordt gelegd, dat dit ook de diepste wens is van de 
VVD en dat de Partij van de Arbeid zo naïef is geweest om 
haar handtekening daaronder te zetten. Naar aanleiding 
van deze kwestie heeft het College bescherming persoons¬ 
gegevens een brief gestuurd. Ik vraag aan de heer Van 
Wijngaarden of deze brief voor hem niet voldoende waar¬ 
borgen biedt dat het College bescherming persoonsgege¬ 
vens niet zal overgaan tot het te pas en te onpas uitdelen 
van boetes. Is hij het met mij eens dat je dit niet kunt aflei¬ 
den uit die brief, met die intentie van het college? 


De heer Van Wijngaarden (VVD): 

De heer Schouw gebruikt grote woorden. Dat mag hij doen, 
maar ik constateer dat er een amendement ligt, met een 
heldere toelichting, dat zorgt voor een waakhond met tan¬ 
den, dat niet verder gaat dan nodig is en dat ook past bin¬ 
nen het karakter van het wetsvoorstel. De privacy gaat ons 
allen aan het hart. Er is in dit parlement niet één partij die 
het monopolie heeft op privacy, dus het staat ook andere 
partijen vrij om op dit punt voorstellen te doen. 


De heer Van Nispen (SP): 

Mijn collega Schouw had zojuist wel een punt. Maar ik heb 
een andere vraag. Mijn vraag is of informatie over vermo¬ 
gensverdeling in Nederland, die niet tot personen is te 
herleiden, valt onder de Wet bescherming persoonsgege¬ 
vens. Met andere woorden: zijn dat persoonsgegevens? 


De heer Van Wijngaarden (VVD): 

Dat lijkt mij een goede vraag om aan het CBP te stellen. 


De heer Van Nispen (SP): 

Kom op! Dit kan niet. De heer Van Wijngaarden heeft mij 
zojuist de spiegelbeeldige vraag gesteld en ik heb gepro¬ 
beerd die vraag naar eer en geweten te beantwoorden. Nu 
weigert hij echter een antwoord op mijn vraag te geven. Ik 
zal het maar meteen zeggen: de heer Van Wijngaarden hoeft 
niet bang te zijn dat de SP en GroenLinks exact willen weten 
wat er op zijn bankrekening staat, of wat hij waar dan ook 
aan vermogen heeft. Hij hoeft dus straks niet bibberend 
naar huis te gaan, want het voorstel van GroenLinks en de 
SP, waarover hij zojuist een vraag stelde, gaat niet over 
persoonsgegevens. Ik neem aan dat hij dat wel wist, dus 
de poging om ons in een verkeerd daglicht te stellen, is 
mislukt. 


De voorzitter: 

Mijnheer Van Wijngaarden, wilt u hierop nog reageren? 


De heer Van Wijngaarden (VVD): 

Ik heb gisteren geen voorstel gedaan om een vermogens- 
register op te richten waarin dat allemaal wordt bijgehou¬ 
den. Ik heb nu niets anders gedaan dan de vraag stellen die 
ik gesteld heb. 


De heer Van Nispen (SP): 

Het zou de heer Van Wijngaarden sieren om toe te geven 
dat het vermogensregister van de SP niet op persoonsni- 
veau te herleiden is, dus dat het niets van doen heeft met 


persoonsgegevens en dat het slechts gaat over informatie 
over vermogensverdeling in Nederland. Het siert hem niet 
dat hij nu de indruk blijft wekken dat dit anders zou zijn. 


De voorzitter: 

Mijnheer Van Wijngaarden, heeft u behoefte aan een reac¬ 
tie? 


De heer Van Wijngaarden (VVD): 

Nee. Ik vind het veel te kort door de bocht om hier even te 
constateren dat dit het geval is, dus dat het vermogensre¬ 
gister aan de privacy-eisen voldoet. Ik denk dat wij daar het 
CBP voor hebben. 


De voorzitter: 

U bent daarmee aan het eind gekomen van uw termijn. Ik 
geef het woord aan de heer Segers, die heeft ingeschreven 
voor tien minuten spreektijd. 

□ 

De heer Segers (ChristenUnie): 

Voorzitter. Er staat een belangrijke waarde op het spel, en 
dat is privacy. Bij datalekken lopen mensen het gevaar dat 
ongevraagd en ongewild hun gegevens op straat of op de 
digitale snelweg belanden, met alle ellende van dien. In dat 
geval kan immers gemakkelijk misbruik van de situatie 
gemaakt worden. Het wetsvoorstel verplicht allen die met 
persoonsgegevens werken tot zorgvuldigheid, juist ook op 
de momenten dat het onverhoopt misgaat. Het wetsvoorstel 
is daarmee een terechte versterking van de positie van de 
burger. 

Als waakhond is het College bescherming persoonsgege¬ 
vens benoemd. Dat krijgt er nu een aantal belangrijke taken 
bij. De vraag is of het wetsvoorstel gaat werken. Met andere 
woorden: heeft het CBP effectieve instrumenten om te 
blaffen indien dit nodig is en te bijten als het echt niet 
anders kan? De fractie van de ChristenUnie is daar nog niet 
geheel van overtuigd. 

Uit de laatste evaluatie van de Wet bescherming persoons¬ 
gegevens, gehouden in 2009, werd duidelijk dat de wet 
door zowel de overheid als het bedrijfsleven slecht wordt 
nageleefd. Een stevige en treurige conclusie. Er is genoeg 
aanleiding om tot nieuwe wetgeving te komen, zoals de 
wet die vandaag wordt besproken. Tegelijk moet ook wor¬ 
den opgemerkt dat veranderingen nooit alleen op wetgeving 
kunnen stoelen. Het komt ook aan op de houding van alle 
betrokkenen, op een cultuur waarin de waarde van privacy 
geëerbiedigd wordt. Welke voornemens heeft het kabinet 
op dit punt en hoe meet het eventuele verbeteringen en 
eventuele verslechteringen? 

De keuze in het wetsvoorstel voor transparantie waar het 
misgaat, via de meldplicht, en de sanctionering indien dat 
verwijtbaar is, is een goede aanvulling op de gereedschaps¬ 
kist van het College bescherming persoonsgegevens. Wat 
die meldplicht betreft is het een goede zaak dat het CPB 
een vinger aan de pols kan houden, om de omvang en ernst 
van een aantal datalekken en de risico's die burgers lopen 
te kunnen vaststellen. Het bevreemdt dan ook dat de 
meldplicht opeens vervalt als er sprake is van een datalek 
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bij versleutelde data. Ik zie de ratio daarvan niet. Graag 
ontvangen wij daarop een toelichting. Het amendement- 
Van Wijnbergen/Schouw/Oosenbrug biedt naar mijn mening 
op dit punt soelaas. 

Extra verwonderlijk is het dat de memorie van toelichting 
vervolgens wel aan het college de kennis toeschrijft om op 
de hoogte te zijn van alle versleutelingstechnieken en die 
in een up-to-dateregister ook bij te houden. Daar zijn al 
vragen over gesteld, in ieder geval door de PVV-fractie en 
de SP-fractie. Ook zij vroegen: daar zijn toch andere 
instanties voor? Ik hoor graag een reactie van de staatsse¬ 
cretaris, en dan gaat het mij heel specifiek om de rol van 
het National Cyber Security Centrum, onderdeel van het 
NCTV. 

Dan de invulling van de gereedschapskist, of anders gezegd: 
kan het college bijten? Dat was wei de wens van de Kamer 
bij het aannemen van de motie-Recourt. De boetebevoegd- 
heid die nu wordt voorgesteld, wordt door het college als 
niet effectief gezien, simpelweg omdat moet worden aan¬ 
getoond dat de overtreding willens en weten is begaan. Als 
dat niet lukt, moet er eerst een aanwijzing worden gegeven. 
Het is volstrekt logisch dat het college altijd probeert repa- 
ratoir te werken, maar er zijn situaties waarin daarmee niet 
alles gezegd is. De cameraploegen van VUmc zijn al vaak 
langsgekomen. Dat was een beeldende illustratie, een 
beeldende casus, waarbij zonder toestemming van patiën¬ 
ten opnames begonnen. Alles kon in beeld worden 
gebracht. Dan past stevig optreden in plaats van reparatie. 

Ik vind het echt iets voor deze staatssecretaris om stevig 
op te treden. Dat ligt toch wel in zijn aard, zou ik zeggen. 
Waarom dan de angst om het college een boetebevoegd- 
heid te geven waarvan het college zelf zegt: die bevoegd¬ 
heid als ultimum remedium te zien? De boetebevoegdheid 
zal niet te pas en te onpas worden toegepast. Is de staats¬ 
secretaris bekend met de situatie in andere landen als het 
gaat om die boetebevoegdheid? Wat is de tendens in de 
nieuwe Europese richtlijn die binnenkort zal verschijnen? 
Samen met collega Schouw meen ik dat een waakhond in 
uitzonderlijke gevallen hoort te kunnen bijten. Vandaar ook 
ons amendement. 

In de tweede nota van wijziging werd de verplichting voor 
het college toegevoegd om wetsinterpreterende beleidsre¬ 
gels te onderwerpen aan ministeriële goedkeuring. Dat is 
toch wat wonderlijk, want daarmee hebben de ministeries 
van Veiligheid en Justitie en Binnenlandse Zaken direct 
bemoeienis met de wijze waarop het toezicht op hun eigen 
doen en laten wordt vormgegeven en ingericht. Dat wringt 
toch? Ik heb met collega Schouw een amendement op dit 
punt ingediend en ik vraag de staatssecretaris om dat 
amendement ook te bezien in het licht van de Europese 
regelgeving en jurisprudentie. 

Samenvattend is dit wetsvoorstel een verbetering van de 
huidige situatie, maar de staatssecretaris kiest toch voor 
een nogal zachte aanpak. Zo kennen wij hem niet. Gelukkig 
liggen er meerdere amendementen, die het geheel tot een 
stevig wetsvoorstel maken. Het doel moet zijn dat burgers 
zich beschermd weten en op de hoogte zijn als er zaken 
misgaan. Dan moet een toezichthouder in staat zijn om in 
te grijpen. De volgende evaluatie van de Wet bescherming 
persoonsgegevens moet een andere uitkomst hebben dan 
degene waar ik net aan refereerde. Ook na het vaststellen 
van dit wetsvoorstel zit het werk er daarom nog niet op. 


In dat licht nog een laatste nabrander. Toen hier de Wet 
bescherming persoonsgegevens werd vastgesteld, werd 
er afgesproken om na vijf jaar te evalueren. Dat staat ook 
in de wet en heeft onder andere geleid tot het nu voorlig¬ 
gende wetsvoorstel. Het is mij onduidelijk wat het vervolg 
is. De wet spreekt niet over een vervolg, maar de resultaten 
van destijds geven daar wel aanleiding toe. Wanneerwordt 
deze wet tegen het licht gehouden en de werking ervan? 
Wellicht hoeft dat niet in een speciale evaluatie te gebeuren, 
maar kan het worden meegenomen als er anderszins priva- 
cygerelateerd onderzoek wordt gedaan. Dat wij nog een 
keer kritisch naar deze wet moeten kijken, lijkt mij wel 
wenselijk. 

De voorzitter: 

Dank, mijnheer Segers. Dan geef ik het woord aan de heer 
Oskam, die eveneens heeft ingeschreven voortien minuten. 

□ 

De heer Oskam (CDA): 

Voorzitter. In het wetsvoorstel dat de Kamer bespreekt, 
wordt de meldplicht geïntroduceerd in de Wet bescherming 
persoonsgegevens voor verantwoordelijken voor de verwer¬ 
king van persoonsgegevens in geval van gebleken doorbre¬ 
king van de getroffen maatregelen ter beveiliging van per¬ 
soonsgegevens. Het is een hele mondvol, maar zo is de 
juridische tekst. De meldplicht rust op alle verantwoordelij¬ 
ken voor de verwerking, zowel in de private als in de 
publieke sector. Het nalaten om aan deze verplichting te 
voldoen, kan worden gesanctioneerd met een bestuurlijke 
boete van maximaal €810.000 of, indien de hoogste boete- 
categorie geen passende bestraffing toelaat, met 10% van 
de jaaromzet, op te leggen door het CBR 

De CDA-fractie steunt het wetsvoorstel. Het doel van de 
meldplicht is het voorkomen van datalekken ten gevolge 
van doorbreking van beveiligingsmaatregelen. Als deze 
zich toch voordoen, worden de gevolgen ervan voor de 
betrokkenen zo veel mogelijk beperkt. Met de meldplicht 
wordt bijgedragen aan het behoud en het herstel van het 
vertrouwen in de omgang met persoonsgegevens. Dat is 
volgens de CDA-fractie in het tijdperk van digitalisering en 
grootschalige verwerking van persoonsgegevens een goede 
zaak. 

De CDA-fractie wil wel aan de regering voorleggen hoe 
bewaakt kan worden dat dit wetsvoorstel recht doet aan de 
proportionaliteit van de boetebevoegdheid. De CDA-fractie 
is dan ook tevreden dat mede naar aanleiding van haar 
opmerkingen in het verslag de regering in de nota van wij¬ 
ziging de meldplicht heeft geherformuleerd. Hierdoor hoe¬ 
ven niet alle inbreuken op de beveiliging van persoonsge¬ 
gevens bij de toezichthouder te worden gemeld, maar alleen 
die inbreuken die ernstige nadelige gevolgen hebben voor 
de bescherming van de verwerkte persoonsgegevens. Tij¬ 
dens het debat bleek al weer dat daar discussie over was. 
Ik vraag de staatssecretaris of hij toch nog eens nader kan 
duiden wat er precies bedoeld wordt met "ernstige nadelige 
gevolgen". 

Dit lijkt de CDA-fractie een zinnige wijziging, ook met het 
oog op het voorkomen van een te grote administratieve 
ballast voor de betrokken bedrijven en voor de overheids¬ 
organisaties die het aangaat. Bovendien zou het melden 
van iedere vorm van ongeoorloofde toegang tot persoons- 
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gegevens aan de betrokkene weinig zinvol zijn, omdat 
daarmee tal van situaties onder de reikwijdte van de meld¬ 
plicht worden gebracht waarin geen noemenswaardige 
ongunstige gevolgen voor de persoonlijke levenssfeer zijn 
te duchten, bijvoorbeeld bij menselijke fouten of systeem- 
fouten waarbij personen betrokken zijn die geen misbruik 
zullen maken van gegevens die zij ten onrechte hebben 
ingezien. Dan is het niet nodig en hoeven wij het CPB niet 
verder op te tuigen. Een dergelijke ruime verplichting dient 
naar de mening van de CDA-fractie dan ook geen redelijk 
doel. 


Ook een tweede wijziging, namelijk die om de normstelling 
aan ministeriële goedkeuring te onderwerpen, kan op steun 
van de CDA-fractie rekenen; anders dan sommige collega's 
zojuist naar voren hebben gebracht. De CDA-fractie deelt 
wel de reserves die de Raad van State op dit punt had. 
Gewaakt moet worden voor een te grote machtsconcentratie 
bij het CPB. Als dit wetsvoorstel in werking treedt, kan het 
college boetes tot zeer grote hoogtes opleggen. Maar met 
het oog op de onafhankelijkheid van het toezicht is de 
voorgestelde wijziging wel verstandig. 

De CDA-fractie heeft als enige vragen over het opzetbegrip 
zoals door de regering voorgesteld in artikel 66. Wat is de 
reikwijdte van dit begrip? Ik denk dat ik het wel weet, maar 
ik wil het toch zeker weten. Ik hoor daarom graag van de 
staatssecretaris dat voorwaardelijke opzet hier ook onder 
valt. Daar is ook discussie over geweest. 

Er zijn genoeg concrete casussen waaraan gedacht kan 
worden waarbij wel degelijk sprake is van voorwaardelijke 
opzet: het bewust aanvaarden van de aanmerkelijke kans 
dat gegevens geschaad kunnen worden. De CDA-fractie 
haalt een ander sprekend voorbeeld aan, ditmaal uit de 
Verenigde Staten. De winkelketen Target installeerde gea¬ 
vanceerde beveiligingssoftware om zijn netwerk te monito¬ 
ren. Ondanks dat er alarmbellen afgingen, deed het bedrijf 
niets. Het resultaat was dat de gegevens van 40 miljoen 
creditcardhouders gestolen werden. In dat soort zaken moet 
je redelijkerwijs vermoeden dat het fout gaat als je niets 
doet. Dat lijkt mij logisch. 

De CDA-fractie steunt in een dergelijke casus de boetebe- 
voegdheid van het college, maar zij vraagt de staatssecre¬ 
taris of hij ervoor wil waken dat het CPB te gretig wordt 
met het opleggen van boetes. Eerder is gezegd dat de 
waakhond tanden moet krijgen. Dat vinden wij zeker ook. 
Die tanden moeten ook gebruikt kunnen worden, maar niet 
de klauwen. 

Dan ons amendement op stuk nr. 17. Wat ons betreft, werkt 
dat mee aan meer maatwerk voor het College bescherming 
persoonsgegevens. Als je de boetebevoegdheid van het 
CPB serieus neemt, moet je ook een toetsing in volle 
omvang kunnen laten verrichten. Laat het CPB de norm- 
schending bekijken, de feiten en omstandigheden waaron¬ 
der die is begaan en eventuele gevolgen bij de afweging 
of er wel of geen boete moet worden opgelegd. Wellicht 
kan worden volstaan met een bindende aanwijzing of 
anderszins. Te denken valt aan situaties waarin vergeten is 
om de gegevens te wissen toen de bewaartermijn was 
verstreken. Ik noem ook de situaties waarin het beveiligings¬ 
niveau niet volgens de stand van de voortschrijdende 
techniek is bijgewerkt of waarin de privacyverklaring op de 
website niet is geüpdated. Dit zijn kleine fouten waarvan 


het CPB moet zeggen: het is niet goed wat je gedaan hebt, 
maar wij laten het hierbij of wij geven een aanwijzing als 
daar aanleiding voor is. 

De heer Van Wijngaarden (VVD): 

De heer Oskam gaf net aan dat hij de punten die de Raad 
van State heeft aangedragen zeer serieus neemt. Maar hoe 
verhoudt het zinnetje "tenzij het college dit niet redelijk 
acht", zo'n algemene formulering, zich enerzijds tot het lex 
certabeginsel en anderzijds tot het punt dat de grondwetge¬ 
ver de wetgever heeft opgedragen om hier duidelijkheid in 
te creëren? 


De heer Oskam (CDA): 

Het CDA staat natuurlijk ook voor duidelijkheid en wil ook 
graag duidelijkheid creëren, maar we zijn met elkaar aan 
het kijken hoe dit zich gaat zetten. Het CBP heeft een brief 
gestuurd waarin staat wanneer het denkt een boete te 
moeten opleggen en noemt de criteria daarvoor. De heer 
Schouw noemde dit punt al. Het is een zoektocht. Het CDA 
is ook voor het idee dat de minister mee moet kijken, zodat 
het van twee kanten bekeken wordt, want dan heeft de 
Kamer ook invloed. Maar het moet zich zetten. Eigenlijk is 
het CBP een soort rechter die zegt: deze normschending is 
er geweest; hoe gaan we die het beste oplossen? Ik heb net 
gezegd wat het doel daarvan is. We proberen natuurlijk zo 
veel mogelijk die schade te voorkomen, dus het is prima 
als er een bindende aanwijzing komt waarin staat welke 
veiligheidsmaatregelen moeten worden genomen zodat 
het in de toekomst niet meer kan gebeuren of dat de 
gedupeerden gecompenseerd moeten worden. Het voor¬ 
beeld van grove normschendingen is al eerder genoemd. 
Als een databeheerder bewust gegevens verkoopt terwijl 
hij weet dat dit niet kan, dan moet diegene flink worden 
aangepakt. Dan zijn wij voor lik-op-stuk. De zinsnede van 
de redelijkheid heeft betrekking op de toetsing in volle 
omvang door het CBR Laat dat de feiten en omstandighe¬ 
den, de normschending en de gevolgen tegen elkaar 
afwegen en bekijken of een boete noodzakelijk is. Dat is het 
idee. Ik denk dat daar niks onduidelijk aan is. 


De heer Van Wijngaarden (VVD): 

Maar daarmee negeert het CDA toch gewoon de aanmaning 
van de Raad van State, die heeft gezegd dat de grondwet¬ 
gever de wetgever opdraagt om op het niveau van de for¬ 
mele wet zo veel mogelijk duidelijkheid te creëren? Met 
deze zin negeert het CDA die toch? 


De heer Oskam (CDA): 

Nee, ik negeer die niet. Ik heb gezegd dat wij positief waren 
over het advies van de Raad van State om niet alles bij het 
CBP neer te leggen en dat er ook nog een ministeriële ver¬ 
antwoordelijkheid in zit — lees: ook voor de Kamer — maar 
dat wil niet zeggen dat wij die grondwettelijke principes 
met voeten treden. Zo is het niet. 

Voorzitter. Ik gaf een aantal voorbeelden waarin het CBP 
maatwerk zou kunnen leveren. Ik noem de situatie dat 
gegevens tijdelijk zijn kwijtgeraakt zonder dat die achteraf 
inzichtelijk blijken te zijn geweest voor derden, dus dat er 
verder geen consequenties aan zitten. In dergelijke situaties 
menen wij dat het passender is dat het CBP kiest voor een 
bindende aanwijzing. Indien die niet wordt opgevolgd, kan 
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het CBP alsnog de bestuurlijke boete opleggen. In het 
amendement van de heer Van Wijngaarden en mevrouw 
Oosenbrug zou dat zijn vanwege het overtreden of het niet- 
naleven van de bindende aanwijzing, maar wat mij betreft 
zou het beter zijn om aan zo'n bindende aanwijzing een 
voorwaardelijke boete op te leggen. Soms gaat het zelfs 
verder. Soms is een bindende aanwijzing — dit voorbeeld 
gaf Van Nispen ook — eigenlijk helemaal niet meer van 
toepassing omdat de schade al is hersteld of omdat er al 
maatregelen zijn genomen. Het CBP kan dan een bindende 
aanwijzing geven, maar die heeft in dat geval geen functie. 
Wat wel een functie kan hebben is om een voorwaardelijke 
boete op te leggen. Dat kan nu niet. Niemand heeft daar 
een amendement over ingediend en het wetsvoorstel ziet 
er ook niet op, maar ik vraag de staatssecretaris wel of hij 
dat een goed idee vindt. Wat dat betreft is er nog wel een 
tussenoplossing te bedenken. 


Mevrouw Oosenbrug (PvdA): 

Het CDA zegt erg voor duidelijkheid te zijn. Daar ben ik blij 
om, want er worden wel wat dingen onduidelijk voor mij. 
De heer Oskam geeft het voorbeeld van een situatie waarin 
erwel gegevens gelekt zijn, maarergeen derden bij kunnen. 
Hoe moet ik dat voor mij zien? Het probleem is juist dat je, 
als er een hack plaatsvindt waarbij persoonsgegevens op 
welke manier dan ook gecompromitteerd worden, nooit 
zeker weet of die naar buiten zijn gebracht of binnen het 
bedrijf zijn gebleven. Waar leggen we dan de grens? Hoe 
duidelijk kun je dat vastleggen in wetgeving? 


De heer Oskam (CDA): 

Ik zal het heel beeldend maken. Een medewerker van 
XS4ALL krijgt inzage in gegevens die hij eigenlijk niet mag 
zien. Hij meldt dat aan zijn baas en doet er verder niks mee. 
De baas meldt het vervolgens aan het CBP. Als er geen 
bloed uitgevloeid is, kan het CPB het daarbij laten of een 
aanwijzing geven dat het niet meer gebeurt. Dat soort zaken. 


Mevrouw Oosenbrug (PvdA): 

Dan gaat het niet over datalekken, maar over iets wat intern 
in een bedrijf gebeurt. Dat is iets heel anders dan wanneer 
er van buitenaf een aanval plaatsvindt of een hack. Het kan 
ook dat een usb-stickje in een envelop, onversleuteld, ver¬ 
stuurd wordt via de post en verdwijnt. Dat kan bij TPG Post 
ergens onder een kast terecht zijn gekomen, maar het kan 
ook door iemand meegenomen zijn. Dat weten we niet. 
Waar ligt die grens? Wanneer kunnen we wel zeggen dat 
die aanwijzing of die boete verdiend is? Hoe krijg je die 
wetgeving dan wel duidelijk? 


De heer Oskam (CDA): 

Ik heb hier geen transactielijst waarbij je zegt: als je 5 cm 
naar links gaat, krijg je zoveel. Ik vind dat dit aan het college 
is. Ik vind dat we maatwerk moeten maken. We kunnen 
natuurlijk allerlei voorbeelden bespreken, maar er zijn veel 
meer voorbeelden te bedenken. De techniek schrijdt voort. 
Er gaat van alles gebeuren. Dit hele proces is in ontwikke¬ 
ling. Het CBP zal ook moeten bekijken hoe het daarmee 
omgaat. Dadelijk wordt door het CBP een vorm van juris¬ 
prudentie gemaakt die we nauwlettend zullen volgen, maar 
ik ga niet zeggen dat iemand die 5 cm naar links gaat, wel 
een boete krijgt en bij 4 cm niet. Dat is echt aan het CBP. 


Mevrouw Oosenbrug (PvdA): 

U vroeg collega Van Wijngaarden om helderheid over de 
amendementen die wij hebben ingediend, maar mijn con¬ 
clusie is dat dit eigenlijk op hetzelfde neerkomt. Mijn collega 
Van Wijngaarden zei ook: laat het CBP dat op sommige 
momenten bepalen. U zegt eigenlijk precies hetzelfde. Dat 
is geen vraag, maar een conclusie van mij. 


De heer Oskam (CDA): 

Dan maak ik er een vraag van. Mevrouw Oosenbrug heeft 
het niet goed begrepen. Ik bedoelde aan de heer Van 
Wijngaarden te vragen waarvoor het CBP die boete geeft 
op grond van het amendement op stuk nr. 16, lid 5. De heer 
Van Wijngaarden heeft daarover duidelijkheid geschapen, 
door te zeggen dat dit komt doordat dat bedrijf of die 
organisatie de aanwijzing van het CBP niet heeft opgevolgd. 
Dat is duidelijk. Om het amendement beter te maken heb 
ik gezegd datje het ook vorm kunt geven als een voorwaar¬ 
delijke boete als je geen bindende aanwijzing wilt geven. 
Dan geef je toch tools om ellende in de toekomst te voorko¬ 
men. Stel dat ik als directeur van een bedrijf bij het CBP 
moet komen, figuurlijk gezegd. Het CBP zegt dan: joh, je 
hebt buiten de boot gevist, om het zo maar te zeggen — 
dat is een verkeerde uitdrukking, maar u snapt wel wat ik 
bedoel — je moet eigenlijk een boete betalen, maar het is 
de eerste keer, je hebt veiligheidsmaatregelen genomen, 
je bent er zelf mee gekomen of je hebt schade vergoed of 
mensen gecompenseerd, in dat geval laten we het bij iets 
voorwaardelijks. Je kunt ook het amendement van mevrouw 
Oosenbrug en de heer Van Wijngaarden nemen en zeggen: 
je hebt die norm overtreden, je hebt niet geluisterd naar 
het CBP en daarom moetje €810.000 of €400.000 of €20.000 
betalen, dat kan allemaal. Ik denk dat het transparanter is 
om te zeggen: dat staat erop, dat vinden wij het waard, 
maar als je ervoor zorgt dat het niet meer gebeurt of als je 
luistert naar die aanwijzing dan ga je vrijuit. Dat lijkt me 
beter. 

Ik was bij de voorbeelden van maatwerk. Er is ook nog de 
last onder dwangsom, zoals collega Van Nispen heeft 
gezegd. Het amendement dat ik net heb besproken, zou in 
combinatie met het wetsvoorstel goed kunnen uitpakken. 
Bedrijven en organisaties worden door de dreiging van een 
hoge boete geprikkeld om alles in het werk te stellen om 
privacygerelateerde schade te voorkomen. Daarnaast wordt 
duidelijk of het CBP boetes kan opleggen bij alle tekortko¬ 
mingen. Soms valt erover te twisten of deze zulke ernstige 
gevolgen hebben gehad of een zodanige normschending 
zijn dat er een boete op moet komen. 

Ik heb nog een vraag aan de staatssecretaris over het 
amendement op stuk nr. 16. Is het niet beter om bij het 
systeem dat wij hebben bedacht, er toch een voorwaarde¬ 
lijke boete in te fietsen en deze eventueel te koppelen aan 
die bindende aanwijzing? Het is ook mogelijk dat er geen 
bindende aanwijzing moet worden gegeven, maar dat een 
voorwaardelijke boete op zijn plaats zou zijn. 

De voorzitter: 

Dank meneer Oskam, ook voor het verrijken van het 
Nederlands met een nieuwe uitdrukking. 
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□ 

Mevrouw Oosenbrug (PvdA): 

Voorzitter. De PvdA is sinds lange tijd voorstander van een 
meldplicht voor datalekken. Mijn fractie is er dan ook ver¬ 
heugd over dat met dit wetsvoorstel de bescherming van 
persoonsgegevens kan worden versterkt. Onze persoons¬ 
gegevens worden op steeds meer plekken digitaal verza¬ 
meld en opgeslagen. De kans op verlies of diefstal van die 
gegevens, het zogenaamde "datalekken", neemt daardoor 
toe. Door een meldplicht voor gevallen waarin gegevens 
waarschijnlijk zijn gestolen en door het aanscherpen van 
de tanden van het College bescherming persoonsgegevens 
met een brede boetebevoegdheid komt het wetsvoorstel 
tegemoet aan de wens van mijn fractie. 

Met dit wetsvoorstel geeft de regering invulling aan de 
wens van de Tweede Kamer, zoals onder andere verwoord 
in de motie van collega Recourt over de uitrusting van het 
CBR We zien het toenemende belang van een goede 
bescherming van digitale persoonsgegevens vooral omdat 
er steeds meer informatie over mensen digitaal beschikbaar 
is en er met regelmaat pogingen worden ondernomen om 
deze gegevens te ontvreemden. Ook delft de privacy 
regelmatig het onderspit in de strijd met de commercie en 
worden daarbij de regels van de Wet bescherming persoons¬ 
gegevens overtreden. Een meldplicht en een stevigere 
boetebevoegdheid zullen bijdragen aan een betere 
bescherming van de persoonsgegevens. 

Voor een meldplicht voor datalekken die goed werkt, is het 
belangrijk dat men niet alleen maar informatie krijgt over 
inbreuken waarbij al duidelijk is dat er gegevens zijn mis¬ 
bruikt; dan is er namelijk weinig preventieve reactie nodig. 
Ook kan niet altijd goed worden ingeschat hoe groot de 
risico's op misbruik zijn na een lek. Het is goed als dit bij 
twijfel juist wél wordt gemeld, in plaats van dat men dit 
voor zich houdt. Ook als gegevens zijn versleuteld, is het 
belangrijk om de inbreuk wel bij het CBP te melden. Het is 
namelijk niet altijd van tevoren te zeggen in hoeverre de 
diefstal van versleutelde gegevens gevaar kan opleveren. 
Niet alle versleuteling is even sterk. 

Daarom was ik onaangenaam verrast door de eerste nota 
van wijziging, waarin de meldplicht onnodig werd ingeperkt. 
Ik begrijp de zorgen over een toename van de administra¬ 
tieve lasten. Bedrijven zijn bang dat ze meer moeten melden 
dan nodig is. Bovendien is het uiteraard niet leuk om te 
moeten melden dat er bij je is ingebroken; dat kan slecht 
zijn voor je imago. Ik kan me echter ook voorstellen dat het 
CBP er geen behoefte aan heeft om te worden overspoeld 
met onnodige meldingen. Ik ben ervan overtuigd dat hier¬ 
voor in de praktijk een werkbare vorm kan worden gevon¬ 
den, waarbij het CBP eventueel nadere regels stelt. Dat het 
bedrijfsleven moet investeren in beveiliging van de gege¬ 
vens die het verzamelt en ook in het melden van inbreuken, 
hoort volgens mijn fractie bij de plicht om zorgvuldig met 
deze gegevens om te gaan. Daarom heb ik mede met de 
heer Schouw een amendement ingediend, waardoor de 
oorspronkelijk bedoelde meldplicht een stukje wordt 
teruggebracht. Ik hoor graag van de staatssecretaris welke 
problemen hij met deze meldplicht verwacht en welke 
nieuwe inzichten hij heeft opgedaan sinds de indiening van 
het wetsvoorstel. 

De leden van de PvdA-fractie delen de mening van de 
regering dat het onverstandig zou zijn om het wachten op 


de databeschermingsverordening, terwijl een meldplicht 
de veiligheid nu al zou kunnen vergroten. Na de komst van 
een meldplicht op basis van een Europese verordening is 
het van belang dat er uiteindelijk wordt geharmoniseerd. 
De PvdA-fractie hoort graag van de regering de meest 
recente ontwikkelingen ten aanzien van een Europese 
meldplicht voor datalekken. 

Naast het vergroten van het vertrouwen in digitale gege¬ 
vensverwerking is het belangrijk dat er zo veel mogelijk 
lessen worden getrokken uit opgetreden datalekken. 
Daarom is het belangrijk dat er informatie van het CBP 
wordt gedeeld met het Cyber Security Centrum en met de 
toezichthouders van DNB, de AFM en de ACM. Dit is al 
eerder genoemd door de collega's. Ik zou graag wat meer 
uitleg van de regering horen over de wijze waarop de aan¬ 
gemelde datalekken worden gebruikt om lessen te trekken 
en onveiligheden te bestrijden. 

In de nota van wijziging die de boetebevoegdheid regelt, 
zie ik twee mogelijke knelpunten naast de lang gewenste 
uitbreiding van de bevoegdheden van het CBP om echt in 
te grijpen. Dat is de noodzaak van opzet om direct een boete 
te kunnen opleggen zonder voorgaande aanwijzing. Ik maak 
mij zorgen dat dit te beperkend geformuleerd is om op te 
kunnen treden in die gevallen waar, volgens de Wet 
bescherming persoonsgegevens, het klakkeloos over het 
hoofd is gezien, maar er geen opzettelijke overtreding is 
begaan. Ik steun het amendement van collega Van Wijngaar¬ 
den om ook grove nalatigheid meteen beboetbaarte maken. 
Daarnaast is het CBP bang dat een ministeriële goedkeuring 
van zijn beleidsregels zijn onafhankelijkheid kan aantasten. 
Het college spreekt zelfs van strijd met de Europese priva- 
cyrichtlijn en het risico van een infractieprocedure. Heeft 
de staatssecretaris hier navraag naar gedaan bij de Euro¬ 
pese Commissie? 

De heer Schouw (D66): 

Volgens mij is mevrouw Oosenbrug al voorbij het omstre¬ 
den amendement op stuk nr. 16, maar daarover heb ik een 
paar vragen. De heer Van Wijngaarden heeft onthuld 
waarom hij dit gemaakt heeft. Hij wil geen pitbull maken 
van de privacywaakhond. Het mag geen pitbull worden en 
dus wordt het ingeperkt met een listig amendement waarin 
gesproken wordt over ernstig verwijtbare nalatigheid en 
nog een aantal van die inperkingen. Wat vindt mevrouw 
Oosenbrug van zo'n kwalificatie van de heer Van Wijngaar¬ 
den? 


Mevrouw Oosenbrug (PvdA): 

Ik heb andere dingen gehoord in de woorden van de heer 
Van Wijngaarden dan de woordvoerder van D66. Ik heb dit 
amendement mede ingediend omdat het de boetebevoegd¬ 
heid ruimer maakt dan in het oorspronkelijke wetsvoorstel. 
Er worden juist tanden gegeven aan het schoothondje — 
het wetsvoorstel dat nu voorligt — en geen tanden wegge¬ 
haald, zoals de heer Schouw suggereert. Het is niet aan mij 
om er een pitbull of een bouvier van te maken. 


De heer Schouw (D66): 

Ik kan wel helpen. Een bejaarde pitbull heeft geen tanden 
meer, dat maakt iedereen weer blij. De heer Van Wijngaar¬ 
den heeft het echt zo gezegd: ik heb dit gemaakt, omdat ik 
er geen pitbull van wil maken. Het moet wel redelijk blijven. 
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zei hij. De heer Van Wijngaarden heeft voorbeelden 
genoemd waarvan hij denkt dat ze onder de formulering 
vallen. Ik heb ook enkele voorbeelden bedacht. Ik wil ze 
mevrouw Oosenbrug voorhouden met de vraag of ze vallen 
onder de definitie van ernstig verwijtbare nalatigheid. Het 
eerste voorbeeld gaat over de medewerkers van een zieken¬ 
huis. Zij hebben toegang tot alle elektronische patiënten¬ 
dossiers, ongeacht hun directe behandelrelatie. Het gaat 
om honderden medewerkers. Is dit een geval van ernstig 
verwijtbare nalatigheid? 


Mevrouw Oosenbrug (PvdA): 

Aangezien ik wat ervaring heb als systeembeheerder en 
inmiddels weet hoe het er bij veel bedrijven aan toegaat 
met het uitdelen van inlognamen en wachtwoorden, zou ik 
dit niet direct een ernstig verwijtbare nalatigheid noemen. 
Ik zou wel heel graag zien dat het CBP de rode kaart trekt 
en zegt dat dit niet meer kan. Het gaat niet alleen over de 
zorg, maar over heel veel bedrijven alsmede over 
gemeenten. Dit gebeurt op dit moment overal en ik vind 
dat persoonlijk, vanuit mijn achtergrond als systeembeheer¬ 
der, ernstig nalatig. Als ik vanuit de wet naar de taak van 
het CBP kijk, dan zeg ik nee. Er zal eerst een rode kaart 
moeten worden getrokken. Er zal eerst moeten worden 
uitgelegd waarom dit niet goed is. 

De voorzitter: 

Mijnheer Schouw, ik weet niet hoeveel voorbeelden u hebt, 
maar anders gaat het heel lang duren. 

De heer Schouw (D66): 

Nog heel even verder met dit voorbeeld en dan houd ik 
echt op, hoor. Het gebeurt dus al een jaar in dat ziekenhuis, 
ze hebben het allemaal verzwegen en iedereen zit in die 
patiëntendossiers te rommelen. Uiteindelijk komt het col¬ 
lege er via een klokkenluider achter. Zegt de Partij van de 
Arbeid dat dit niet zo ernstig is dat er direct een boete 
gegeven mag worden, maar dat er eerst een waarschuwing 
gegeven moet worden? Begrijp ik dat goed? 


Mevrouw Oosenbrug (PvdA): 

Ja. Er zijn nog geen duidelijke richtsnoeren hiervoor. Dat¬ 
zelfde probleem is er op gemeenteniveau. Ook daarbij 
hebben we de minister gevraagd om strikter op te treden. 
Mijn fractie kiest ervoor om eerst een waarschuwing te 
laten geven. U gaat een stuk verder. Ik vind het een ander 
verhaal als ze ook in die dossiers rommelen of rotzooien 
of andere dingen doen. Dan moet er wel een boete tegen¬ 
over staan. Dan gaat het namelijk veel verder. Het gaat om 
de wijze waarop men omgaat met inloggegevens. Een 
secretaresse kan bijvoorbeeld in bestanden die eigenlijk 
alleen beschikbaar zouden mogen zijn voor de directeur. 
Daarvoor moet er een rode kaart komen. Dat gebeurt ook 
in ziekenhuizen. Op dit moment hebben heel veel secreta¬ 
resses gewoon de inlogcodes van de psychiaters of van 
wie dan ook om bestanden toe te voegen ofte verwijderen. 
Als we dat niet meer willen, moeten daar duidelijke richtlij¬ 
nen voor komen. 


Mevrouw Helder (PVV): 

Ik vind het amendement wel duidelijk. Ik kijk altijd liever 
naar de tekst. De uitleg moet daarbij passen. Ik heb de 
woorden van collega Van Wijngaarden in mijn achterhoofd, 
maar de tekst is duidelijk. Na de uitleg van mevrouw Van 
Oosenbrug begrijp ik het echter niet meer. Volgens mij vult 
zij de definitie van een rode kaart nu heel anders in. Een 
rode kaart betekent toch: stop acuut, boete en hatseflats? 


Mevrouw Oosenbrug (PvdA): 

Er is een verschil. De bindende aanwijzing is voor mij de 
rode kaart. Misschien gebruik ik de term "bindende aanwij¬ 
zing" verkeerd. Dan is er ook nog de boete. 

De voorzitter: 

Met een rode kaart bedoelt u dus een bindende aanwijzing? 

Mevrouw Oosenbrug (PvdA): 

Dan bedoel ik de bindende aanwijzing. Sorry. 


Mevrouw Helder (PVV): 

Dan begint het voor mij duidelijk te worden. Ze kunnen nu 
al een gele kaart geven. Zo heb ik het begrepen. Een bin¬ 
dende aanwijzing lees ik ook als een gele kaart, want daar 
moet eerst aan voldaan worden. Als het niet gebeurt, krijg 
je inderdaad een rode kaart. In het wetsvoorstel is er echter 
ook de mogelijkheid om in bepaalde gevallen, als ersprake 
is van opzet, acuut een rode kaart uit te delen. Dan ben je 
dus meteen aan de beurt. Ik begrijp dat de rode kaart, dus 
het meteen aan de beurt zijn, waarvan sprake is in het 
amendement, ook de bedoeling is als er sprake is van ern¬ 
stig verwijtbare nalatigheid. Heb ik dat goed begrepen? 


Mevrouw Oosenbrug (PvdA): 

Als de rode kaart een boete is, dan wel. Even voor de hel¬ 
derheid: ik heet niet Van Oosenbrug. Die "Van" mag eraf. 

Ik heet gewoon Oosenbrug, maar de hele Kamer begint dit 
nu al over te nemen. 


De heer Van Nispen (SP): 

Ik zal het proberen. Ik heb een vraag voor mevrouw 
Oosenbrug. Vertrouwt de PvdA het aan het College 
bescherming persoonsgegevens toe om zelf de afweging 
te maken om in een bepaald geval direct een boete te geven 
zonder dat deze wordt voorafgegaan door een bindende 
aanwijzing? Ik ben daar oprecht benieuwd naar. 


Mevrouw Oosenbrug (PvdA): 

Ik vertrouw het CBP zeker. Ik vraag de minister wel waarom 
die ministeriële toetsing nodig is. Ik weet niet of ik dat al 
gevraagd heb of dat ik dat nog ging vragen. Waarom moet 
die ministeriële toetsing ertussen? Bedoelt u dat? 


De heer Van Nispen (SP): 

Nee. Dat is natuurlijk ook een interessant punt, maar daar 
komt u dan nog op. Het gaat mij om het amendement op 
stuk nr. 16, dat u samen met de heer Van Wijngaarden hebt 
ingediend, versus het amendement op stuk nr. 19 van de 
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heer Schouw en de heer Segers. Het verschil is dat er vol¬ 
gens u eerst sprake moet zijn van een bindende aanwijzing 
en dat het CBP pas daarna een stevige boete mag opleggen. 
Zo lees ik het amendement. Mijn collega's van de Christen¬ 
unie en D66 zeggen echter dat het aan het college zelf is 
om te beoordelen of het in bepaalde gevallen terecht zou 
zijn om het direct te doen, zonder tussenkomst van die 
aanwijzing. 


Mevrouw Oosenbrug (PvdA): 

Ik ben even heel snel de toelichting aan het lezen. Volgens 
mij zeggen wij hetzelfde. Met het amendement wordt 
geregeld dat het College bescherming persoonsgegevens 
geen bindende aanwijzing hoeft te geven aan de overtreder 
alvorens het een bestuurlijke boete kan opleggen. Ik begrijp 
de verwarring dus niet helemaal, maar misschien heb ik 
zelf het amendement dan niet heel helder. Dat is wat ik voor 
ogen had: geef het CBP nu het gereedschap om ervoor te 
zorgen dat het dit zelf kan bepalen. Als er dus een grove ... 
Wacht, ik moet wel de juiste woorden gebruiken. Als er een 
ernstig verwijtbare nalatigheid is, zoals in het geval van het 
ziekenhuis waar camera's naar binnen gereden worden — 
dat voorbeeld is al honderd keer genoemd — waarbij je 
weet dat je een enorme schending van de privacy pleegt, 
hoor je daar gelijk voor beboet te worden. 


De heer Van Nispen (SP): 

Ik concludeer dat er echt een belangrijk verschil zit tussen 
het amendement op stuk nr. 16 en dat op stuk nr. 19. Ik 
denk dat het goed is om daar nog even heel goed naar te 
kijken. Het amendement op stuk nr. 19, van de ChristenUnie 
en D66, maakt het toch echt een stuk scherper. In mijn ogen 
— zo zie ik het — geven we daarmee meer vertrouwen aan 
het College bescherming persoonsgegevens om maatwerk 
toe te passen. 


Mevrouw Oosenbrug (PvdA): 

Dank u voor de tip. Ik denk dat wij hierna nog even met 
elkaar moeten kijken of wij nog verder kunnen komen. Ik 
kan nu nog niet zeggen dat het een beter dan het ander is. 

Ik was gebleven bij de vraag aan de staatssecretaris of hij 
navraag heeft gedaan bij de Europese Commissie over de 
Europese privacyrichtlijn. Kan hij bevestigen dat het onthou¬ 
den van goedkeuring terughoudend gebruikt zal worden, 
mede door de beperkte gronden "strijd met de wet" en 
"strijd met het algemeen belang"? Hoe wordt de Kamer 
geïnformeerd over het eventueel weigeren van goedkeuring 
aan een beleidsregel van het CBP? 

Het nu introduceren van de wetgeving heeft het risico in 
zich dat er in de toekomst aanpassingen nodig zullen zijn 
doordat er gewerkt wordt aan nieuwe Europese regelgeving 
voor privacy, waarin regels voor een meldplicht en boetes 
opgenomen worden. 


De heer Schouw (D66): 

Goedkeuring is een belangrijk punt. Ik geloof dat mevrouw 
Oosenbrug dat in haar inbreng al heeft aangekaart. De 
Partij van de Arbeid zit op de wip als het gaat om de goed¬ 
keuring. Het is mij niet helemaal helder wat de opvatting 
van de PvdA is. Kan het voor de PvdA nog twee kanten op: 


wel goedkeuring door de minister of geen goedkeuring 
door de minister, zoals wordt beoogd in het amendement 
van collega Segers? Zijn beide opties nog open? 

Mevrouw Oosenbrug (PvdA): 

Op dit moment staan beide opties voor mij nog open. Ik 
heb iets met wetgeving over de ANPR (Automatic Number 
Plate Recognition), zoals sommige mensen misschien wel 
weten; ik weet dat daarover een vraag is gesteld. De vraag 
is inderdaad: kan de minister van V en J daarover wel een 
eerlijk advies geven aan het CBP? Die vraag wilde ik stellen 
en heb ik dan bij dezen gesteld. Daar zit voor mij namelijk 
wel de pijn. Hoe onafhankelijk ben je dan nog? Dat wil ik 
heel graag weten. Dat wil ik graag horen van de staatsse¬ 
cretaris in dit debat, net als de reactie op het amendement 
van de heer Segers. Ik moet zeggen dat de wipwap wel wat 
meer doorslaat naar de ene kant dan naar de andere kant, 
maar ik wil graag eerst een duidelijk antwoord. 


De heer Schouw (D66): 

Ik denk dat het antwoord van de staatssecretaris zal zijn: ja, 
dat kan ik. Dat kunnen we voorspellen. Zit er niet een wat 
meer principiële kant aan? Bij heel veel toezichthouders — 
het is nu eenmaal niet anders geregeld — liggen normstel¬ 
ling en handhaving in één hand. Dat zie je ook bij de Auto¬ 
riteit Financiële Markten en nog een paar van die instellin¬ 
gen. Zou het niet logisch zijn om die lijn consistent door te 
trekken? 


Mevrouw Oosenbrug (PvdA): 

Ja, maar toch wil ik het debat openhouden. Daarvoor voeren 
we een debat met elkaar. Daarin wil ik vragen kunnen stellen 
aan de staatssecretaris en daarop wil ik gewoon antwoord 
krijgen. Aan de hand daarvan en met de visie van mijn 
fractie erachter, zullen wij daar in tweede termijn zeker op 
terugkomen. In eerste termijn ga ik echter nog niet zeggen 
naar welke kant de wipwap doorslaat, juist om het debat 
op een open manier te kunnen blijven voeren. 


De heer Segers (ChristenUnie): 

Als onafhankelijkheid belangrijk is, dan hebben we maar 
twee smaken: of je bent onafhankelijk, of je bent het niet. 
Als je die onafhankelijkheid echt in de wet wilt onderstre¬ 
pen, is het natuurlijk wel de vraag of je die ministeriële 
regeling niet moet doorknippen. 


Mevrouw Oosenbrug (PvdA): 

Er zijn ook kanttekeningen gemaakt in de trant van "stop je 
op een gegeven moment niet te veel macht bij een partij?" 
Daar heb ik gewoon vragen over. Volgens mij zijn daar meer 
vragen over gesteld. Ik ben echt oprecht benieuwd naar het 
antwoord daarop. Voor mij blijft het een afweging. Wat 
weegt op een gegeven moment zwaarder? Is dat echt die 
onafhankelijke positie — wij zijn daar heel erg mee bezig 
ook bij andere toezichthouders — of moet het toch toezicht 
op de toezichthouder worden, of hoe je het dan ook noemt? 
Je hebt al Train de Trainer. Dan heb je vast ook wel iets als 
"wie let er op de opletter?" Ik snap het amendement van de 
heer Segers dus. Ik sta daar heel sympathiek tegenover, 
maar ik wil toch graag de beantwoording van de staatsse- 
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cretaris afwachten voordat ik zeg welke weg mijn fractie 
kiest. 


De voorzitter: 

Mijnheer Segers, ik geloof niet dat er op dit moment een 
beslissing komt, maar wellicht hebt u toch een vervolg¬ 
vraag. 


De heer Segers (ChristenUnie): 

Nee, ik heb geen vervolgvraag, maar ik wil wel graag het 
belang dat de PvdA-fractie hecht aan die onafhankelijke 
positie, markeren. Het is van belang dat het CBP echt in de 
positie is om volwaardig toezichtte kunnen uitoefenen, ook 
op de ministeries waar we het over hebben. Dat markeer 
ik even en in de tweede termijn gaan we daar verder over 
in debat. 


Mevrouw Oosenbrug (PvdA): 

Daarom gaf ik ook dat sprekende voorbeeld van ANPR. Dat 
gaat mij erg aan het hart. 

De voorzitter: 

Vervolgt u uw betoog, mevrouw Oosenbrug. 

Mevrouw Oosenbrug (PvdA): 

Ik kom op de Europese regelgeving voor privacy. Wij vinden 
dat deze wetgeving lang genoeg op zich heeft laten wachten 
en wij waarderen de keuze van het kabinet om niet te 
wachten op deze traag vorderende Europese regels. De 
PvdA is van mening dat we met dit wetsvoorstel een stap 
vooruit zetten in de bescherming van persoonsgegevens. 

De voorzitter: 

Daarmee is een einde gekomen aan de eerste termijn van 
de Kamer. 

De vergadering wordt van 18.12 uur tot 19.13 uur geschorst. 

□ 

Staatssecretaris Teeven: 

Voorzitter. De bescherming van persoonsgegevens is een 
belangrijk onderwerp dat iedereen nauw aan het hart gaat. 
Dat geldt zeker ook voor de overheid. De leden hebben daar 
in eerste termijn uitgebreid aandacht aan besteed. Er is een 
aantal voorbeelden genoemd die heel treffend waren. 
Iedereen kent natuurlijk de casus van het VU medisch cen¬ 
trum in Amsterdam van ongeveer anderhalf jaar geleden, 
maar er is ook een aantal andere casussen genoemd. Zo 
heeft de heer Oskam gesproken over de casus in Amerika 
met 40 miljoen creditcards. Dat was natuurlijk ook een heel 
bijzondere casus. 

Het kabinet doet het voorstel om de Wet bescherming per¬ 
soonsgegevens meer op de Europese leest te schoeien en 
toe te groeien naar het systeem van de Europese verorde¬ 
ning die op dit moment in voorbereiding is. We hebben 
daar zo'n anderhalf tot twee jaar geleden al een keer van 
gedachten over gewisseld. De heer Schouw van D66 vroeg 
toen: je kunt wel de hele tijd wachten op die EU-verorde- 


ning, maar moet je dat gat dat op nationaal niveau bestaat 
niet dichten? Ook de heer Van Nispen heeft daar toen vra¬ 
gen over gesteld. Ik heb destijds gezegd dat ik eigenlijk op 
die EU-verordening wilde wachten, omdat het mijn verwach¬ 
ting was dat die verordening begin 2015 kon worden afge¬ 
rond. 

Wat dat betreft, moet ik zeggen dat het goed is dat we 
vandaag wel bezig zijn met de nationale wetgeving. We 
moeten er natuurlijk wel voor oppassen dat er geen natio¬ 
nale koppen op komen. Daar heeft de heer Van Wijngaarden 
ook aandacht voor gevraagd. Tegelijkertijd moet ik vaststel¬ 
len dat ik na de informele Raad in Letland van vorige week 
niet zo optimistisch ben over het tijdschema van de veror¬ 
dening. Die zal niet in 2015 en misschien zelfs niet tijdens 
het Nederlandse voorzitterschap in de eerste helft van 2016 
kunnen worden afgerond. Die verordening zou weleens pas 
in de tweede helft van 2016 dan wel tijdens de eerste helft 
van 2017 onder Maltees voorzitterschap kunnen worden 
afgerond. Dat heeft onder meer te maken met bijvoorbeeld 
de moeilijke vraag onder welk beschermingsregime de 
politiegegevens vallen. 

Ikzal na wat algemene opmerkingen eerst de amendemen¬ 
ten van de leden behandelen. Normaal doe je het andersom, 
door eerst de vragen en dan de amendementen te behan¬ 
delen, maar bij de behandeling van de amendementen kan 
ik al heel veel vragen beantwoorden die bij de leden leven. 
Daarna kom ik bij de vragen, waar heel serieuze bij zitten, 
ook over afzonderlijke zaken die wat aandacht verdienen. 

We hebben over dit onderwerp van de gegevensbescher¬ 
ming ook de afgelopen week gesproken tijdens de informele 
JBZ-raad. Ook daar kwamen de twee hoofdonderwerpen 
van dit wetsvoorstel aan de orde, namelijk een algemene 
meldplicht voor datalekken en een uitbreiding van de 
bevoegdheden van nationale toezichthouders, in dit geval 
het College bescherming persoonsgegevens, om bij over¬ 
treding van de wet een bestuurlijke boete op te leggen. 

De heer Schouw heeft een opmerking gemaakt over de 
naamgeving van het College bescherming persoonsgege¬ 
vens. Die naam wordt in dit wetsvoorstel in een klein artikel 
gewijzigd. Ik heb daarover veel gesproken met de voorzitter 
van het college. We hebben daar echt wel even aandacht 
aan besteed. Het is na zeer lang beraad dat ook het College 
bescherming persoonsgegevens een voorkeur heeft voor 
de naamgeving Autoriteit persoonsgegevens. Er is ook al 
wat voorwerk gedaan in dit opzicht, dus het lijkt me nu niet 
verstandig om weer een andere naam te kiezen. Ik heb dit 
ook nog even afgetast naar aanleiding van de opmerking 
van de heer Schouw en zijn voorstel om een andere naam 
te kiezen. Ik dacht "what's in a name", maar dat ligt toch 
echt iets ingewikkelder. Dus ook de voorzitter van het col¬ 
lege is daar geen groot voorstander van. 

De voorzitter: 

De heer Schouw op dit punt. Alweer? Sorry, het knopje 
staat uit. 


De heer Schouw (D66): 

Als het maar geen opzet is, voorzitter! 

Even om mijn onafhankelijkheid te bewijzen, ik vind het fijn 
dat er een mededeling komt dat de voorzitter van het col- 
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lege dat van mening is, maar dat vindt de fractie van D66 
op zichzelf geen overtuigend argument. Dus ik vraag de 
staatssecretaris toch om daar wat inhoudelijker op in te 
gaan. Ik denk namelijk dat ik een parallelliteit zag met de 
naamgeving in Europa. 


Staatssecretaris Teeven: 

Dat heb ik gehoord. Er zijn dus praktische voorbereidingen 
die al een tijdje lopen op grond waarvan je zou moeten 
zeggen dat je het niet moet doen, maar ik zal zo dadelijk op 
de wat meer principiële vraag van de heer Schouw ingaan. 
Ik dacht het even zo te kunnen oplossen, maar dat is iets te 
snel. 


De voorzitter: 

Een tussenopmerking. Er is naar gekeken. Het blijkt statisti- 
citeit te zijn, dus gebruik het voetpedaal, is het advies van 
de technische dienst. 


De heer Schouw (D66): 

De staatssecretaris noemde praktische dingen. Betekent 
dat dat de letters er al zijn, dus dat de Kamer eigenlijk geen 
keuze meer heeft? Moet ik dat zo zien? 


Staatssecretaris Teeven: 

Nee, zeker niet. De Kamer heeft natuurlijk altijd een keuze, 
maar bij een onderwerp als dit kan ik me voorstellen dat 
het college daar wel over nadenkt en misschien ook wat 
voorbereidingen treft. Je kunt natuurlijk altijd een andere 
keus maken in het wetgevingstraject. What's in a name, 
maar daar hangt soms wel wat aan vast. Ik zal straks op de 
principiële kant ingaan. 

Ik kom tot een algemene opmerking over de meldplicht 
datalekken. Verschillende woordvoerders hebben gevraagd 
waarom er een nota van wijziging is ingediend nadat het 
wetsvoorstel al was ingediend. Ik heb in het schriftelijk 
verslag moeten constateren dat verschillende fracties kri¬ 
tisch waren over het oorspronkelijke wetsvoorstel. Ik noem 
even wat punten van kritiek die terugkomen in het verslag. 
Men vond de begrippen vaag en algemeen. Zo haalden op 
dit punt een aantal fracties ook de kritiek van de Afdeling 
advisering van de Raad van State aan, die erop wees dat 
het een meldplicht betreft door straffen te handhaven. Bij 
de meldplicht voor datalekken laat dit kabinet zich in ieder 
geval leiden door een risicogerichte benadering. Nieuwe 
verplichtingen als deze moeten een reëel doel dienen en 
geen onnodige administratieve en toezichtslasten genere¬ 
ren. 

De nieuwe verplichtingen moeten het Cbp ook in staat 
stellen om waar nodig op te treden en moeten de burgers 
in de gelegenheid stellen zo snel mogelijk maatregelen te 
nemen in het geval van een belangrijk datalek. Daarom is 
het ook belangrijk dat in zekere mate van een drempel wordt 
ingebouwd om de meldplicht ook echt effectief te laten zijn. 
Het voorstel legt de grens bij incidenten die daadwerkelijk 
ernstige nadelige gevolgen hebben voor de bescherming 
van de persoonlijke levenssfeer. Die grens is natuurlijk niet 
in beton gegoten; laat dat helder zijn. Ik heb in eerste termijn 
goed geluisterd. Ik constateer dat bij een aantal fracties de 


wens leeft om die grens enigszins te verruimen. Ik zal daar 
bij de bespreking van de amendementen op terugkomen. 

Ik kom op de boetebevoegdheid. Bij de uitbreiding van de 
bevoegdheid van onze nationale autoriteit om overtredingen 
te bestraffen met forste boetes, staat het kabinet niet alleen 
voor een toezichthouder met tanden. Die formulering is 
vanavond al een aantal keren langsgekomen in het kader 
van de verschillende uitdrukkingsvormen van honden. Ook 
is er een systeem waarin van de verantwoordelijke geen 
onmogelijke inspanning kan worden verwacht om uit te 
puzzelen of hij zij wel of niet aan de wet voldoet. Zoals ook 
uit de evaluatie van de Wet bescherming persoonsgegevens 
is gebleken, is de Wbp voor de praktijk een heel lastige wet, 
met algemeen geformuleerde normen, ook wel "open nor¬ 
men" of "vage normen" genoemd. 

Dat levert ook spanning op met het rechtszekerheidsbegin¬ 
sel, zoals dat in artikel 16 van de Grondwet is vervat maar 
ook in artikel 7 van het EVRM en artikel 15 van het Interna¬ 
tionaal Verdrag inzake burgerrechten en politieke rechten. 
Onder anderen de heer Van Wijngaarden heeft daar aan¬ 
dacht voor gevraagd. De Raad van State heeft dit ook 
geconstateerd. Om die spanning weg te nemen, heeft het 
kabinet gemeend dat de checks-and-balances moeten 
worden verstevigd. Daarbij spelen twee "nieuwe" aanvul¬ 
lende instrumenten een rol, namelijk de bindende aanwij¬ 
zing als in beginsel — ik zeg er altijd nadrukkelijk bij "als in 
beginsel" — een tussenstap voor het opleggen van een 
bestuurlijke boete en de ministeriële goedkeuring van door 
het college op te stellen richtsnoeren waarin het de normen 
uitlegt en interpreteert en waarvan overtreding met een 
bestuurlijke boete kan worden bestraft. Het gaat hierbij om 
instrumenten waartoe de Raad van State heeft geadviseerd. 
Daarbij is nadrukkelijk benadrukt dat het om een grondwet¬ 
telijke aangelegenheid gaat, waarin de wetgever een bijzon¬ 
dere verantwoordelijkheid draagt. Ik denk dat we met de 
amendementen wel een oplossing hebben. Ik kom zo direct 
tot de bespreking van de amendementen. Ik denk dat we 
er wel uitkomen. Ik denk ook dat we de grondwettelijke 
insteek van de Raad van State ook wel voldoende kunnen 
stutten. 

Ik sta overigens niet afwijzend tegenover een iets andere 
invulling van het instrumentarium — dat zullen de leden 
ook merken — indien de Kamer dat in meerderheid mocht 
wensen, zolang maar wordt voldaan aan het rechtszeker¬ 
heidsbeginsel. Er zijn op dit punt een aantal amendementen 
ingediend. Ik wil die amendementen nu bespreken, omdat 
we bij de bespreking van die amendementen al een groot 
aantal vragen kunnen beantwoorden. Ik houd daarbij de 
volgorde van de nummering aan. 

Allereerst kom ik op het amendement op stuk nr. 13 van de 
heren Segers en Schouw. Dat amendement regelt dat het 
voorgestelde artikel 67 van de Wet bescherming persoons¬ 
gegevens inzake de goedkeuring van richtsnoeren zou 
komen te vervallen. Ik constateer dat in de visie van de 
indieners de Europese onafhankelijkheidseis voor de toe¬ 
zichthouder in de weg zou staan van de ministeriële goed¬ 
keuring van de richtsnoeren van de toezichthouder, waar¬ 
mee deze uitleg geeft aan de materiële normen van de wet 
waarvan overtreding door diezelfde toezichthouder met 
een bestuurlijke boete kan worden bestraft. Ik denk dat het 
hierbij echt gaat om de checks-and-balances. Het is heel 
belangrijk om te constateren, dat de normstelling en de 
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bestraffing als gevolg daarvan in belangrijke mate in één 
hand komen te liggen. Je kunt vragen zetten bij de wense¬ 
lijkheid hiervan. 

Dat ook de ministers onder het toezicht van het College 
bescherming persoonsgegevens vallen, is op zichzelf een 
terechte constatering van de indieners, maar een formeel 
beletsel is het niet. De ministers mogen zich namelijk niet 
bemoeien met de taakuitoefening door het College 
bescherming persoonsgegevens. Dat verandert ook door 
het wetsvoorstel niet. Ik denk dat het in dit concrete geval 
wel mogelijk is om een andere invulling te geven aan dit 
geheel, in de zin dat wij niet kiezen voor de ministeriële 
goedkeuring sec, maar dat wij een en ander op een andere 
manier invulling geven. Ik zou daartoe eigenlijk het vol¬ 
gende willen voorstellen, geconstateerd hebbende dat in 
de Kamer bezwaren leven tegen het vereiste van de minis¬ 
teriële goedkeuring. Ook bij het College bescherming per¬ 
soonsgegevens leven daartegen bezwaren. Laten wij naar 
alternatieven kijken, in de trant van: hoe kunnen wij het dan 
anders oplossen met dit amendement? Dan denk ik dat zou 
kunnen worden volstaan met de verplichting voor het Col¬ 
lege bescherming persoonsgegevens om, voorafgaand aan 
de vaststelling van beleidsregels, in overleg te treden met 
de ministers van Binnenlandse Zaken en van Veiligheid en 
Justitie. 

Daarmee is de onafhankelijkheid van het college gegaran¬ 
deerd, want het college stelt zelf de beleidsregels vast, 
zonder dat daarvoor goedkeuring is vereist. Er is wel sprake 
van systeemverantwoordelijkheid van de ministeries. De 
heer Van Wijngaarden zei dat je als systeemverantwoorde- 
lijke ook naar de toezichthouder moet kijken. Hij noemde 
dat "bewaking" van de toezichthouder. Ik zou het de sys¬ 
teemverantwoordelijkheid van de departementen noemen. 
De betrokkenheid van de beide ministeries is gegarandeerd 
door het overleg in het voortraject. In de afgelopen vier jaar 
dat ik heb mogen werken met de voorzitter en het bestuur 
van het College bescherming persoonsgegevens is dat 
overleg altijd op een goede wijze verlopen. Ik heb geen 
enkele aanleiding om te denken dat wij op deze wijze — als 
het amendement in deze zin zou kunnen worden gewijzigd 
— geen recht zouden kunnen doen aan de betrokkenen. Wij 
kunnen dan recht doen aan wat de indieners, de heren 
Schouw en Segers, hebben beoogd en wij kunnen recht 
doen aan de systeemverantwoordelijkheid die er bij beide 
departementen voor het college bestaat. Ik doe dus het 
voorstel aan de indieners om het amendement in deze zin 
te wijzigen. Dan laat ik uiteraard het oordeel aan de Kamer, 
maar dan sta ik er zeer positief tegenover. 


De heer Segers (ChristenUnie): 

De staatssecretaris zegt terecht dat de vaststelling van de 
beleidsregels een verantwoordelijkheid is en blijft van het 
college. Dat was inderdaad het oogmerk. Als wij elkaar zo 
naderen, denk ik dat het goed werkbaar is. Wij zullen het 
amendement in die zin aanpassen. 


Staatssecretaris Teeven: 

Dan kom ik op het amendement-Van Wijngaarden c.s. op 
stuk nr. 14. De zorgen van de indieners betreffen het onder 
de meldplicht houden van adequaat versleutelde persoons¬ 
gegevens. Waar praten wij over? Het gaat om e-mailberich- 
ten en creditcard- en bankgegevens. De heer Van Wijngaar¬ 


den zei het al, maar ook anderen hebben het genoemd. Ik 
dacht dat ook mevrouw Helder daar aandacht aan heeft 
besteed. De heer Oskam noemde een voorbeeld van wat 
er in de Verenigde Staten heeft plaatsgevonden. In de toe¬ 
lichting op het amendement wordt gesproken van situaties 
waarin ontsleuteling een reële dreiging vormt. In dat geval 
zijn er risico's voor de persoonlijke levenssfeer van de 
getroffen personen. De beperking tot een reële dreiging 
lijkt mij van belang. Van het college kan immers niet worden 
verlangd dat het toekomstige technologische ontwikkelingen 
kan voorspellen. Dat lijkt een stap te ver. Mocht er een reële 
dreiging zijn, dan is het wel goed dat het college een mel¬ 
ding aan de getroffen personen kan afdwingen om hen te 
waarschuwen en te informeren over de nadeelbeperkende 
maatregelen. Dat is de bevoegdheid die is opgenomen in 
artikel 34a onder lid 7. Daarvoor is het nodig dat er eerst 
een melding aan het college wordt gedaan. Ik sta positief 
tegenover dit amendement en laat het oordeel erover graag 
aan de Kamer over. 

Ik kom bij het amendement op stuk nr. 16, ingediend door 
de heer Van Wijngaarden en mevrouw Oosenbrug. Over 
dit amendement heeft de Kamer in de eerste termijn veel 
gediscussieerd. In het amendement worden in feite twee 
dingen geregeld. Ten eerste wordt geregeld dat het College 
bescherming persoonsgegevens geen bindende aanwijzing 
hoeft te geven aan de overtreder voor de overtredingen 
waarvoor de zwaarste boete kan worden opgelegd, niet 
alleen indien de overtreding opzettelijk dan wel voorwaar¬ 
delijk opzettelijk is begaan, maar ook indien de overtreding 
het gevolg is van ernstig verwijtbare nalatigheid. Ten 
tweede wordt in het amendement een vereenvoudiging 
van de handhaving geregeld, omdat ook het niet-nakomen 
van een bindende aanwijzing zelfstandig beboetbaar wordt 
gesteld. Eerder heb ik al aangegeven dat ik de uitzondering 
op de verplichting om eerst een bindende aanwijzing te 
geven juist heb opgenomen met het oog op de rechtszeker¬ 
heid en de slagvaardigheid van het College bescherming 
persoonsgegevens. Zo nodig kan dus meteen een rode 
kaart — mevrouw Helder sprak daar bij interruptie over — 
worden getrokken. Dat zit ook in het amendement op stuk 
nr. 16. Die rode kaart moet meteen kunnen worden getrok¬ 
ken, om de slagvaardigheid van het College bescherming 
persoonsgegevens niet onnodig te belemmeren. 

Het lijkt mij belangrijk om te constateren dat er sprake is 
van een versterking — zo lees ik het amendement althans 
— van het lik-op-stukkarakter in de situaties van ernstig 
verwijtbare nalatigheid die hier worden genoemd. Dan 
praten wij over iets grofs, iets aanzienlijk onzorgvuldigs, 
iets onachtzaams, dan wel over onoordeelkundig handelen. 
Dat sluit aan bij de benadering die ik in het wetsvoorstel 
had voorzien. Ik sta derhalve positief tegenover het amen¬ 
dement op stuk nr. 16. Het oordeel over dit amendement 
laat ik aan de Kamer. 

In het amendement op stuk nr. 17, ingediend door de heer 
Oskam, wordt iets soortgelijks geregeld als in het eerste 
deel van het amendement op stuk nr. 16: de uitzondering 
voor het geven van een bindende aanwijzing voor het 
opzettelijk begaan van een overtreding wordt aangevuld 
met de bevoegdheid van het College om de bindende aan¬ 
wijzing ook in het geval van opzet achterwege te laten, 
indien het College dit redelijk acht. Ik denk dat dit overbodig 
is, omdat het amendement op stuk nr. 16 in combinatie met 
het oorspronkelijke wetsvoorstel dit al mogelijk maakt. Van 
belang vind ik wat de indiener van het amendement heeft 
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gezegd over "opzet". Vanavond viel in deze zaal de term 
"willens en wetens". In dat geval is er sprake van volledige 
opzet. Als wij in het kader van deze wetgeving spreken over 
"opzet", praten wij echter ook over de situatie die in het 
strafrecht is omschreven als "voorwaardelijke opzet", 
waarbij een overtreder redelijkerwijze wist of had kunnen 
vermoeden, of de aanmerkelijke kans had kunnen aanvaar¬ 
den, dat door zijn handelen of nalaten ernstige nadelige 
gevolgen hadden kunnen plaatsvinden. Die omschrijving, 
die norm zit ook begrepen in het wetsvoorstel. Dat is breder 
dan wat ik sommige leden heb horen zeggen over "willens 
en wetens". Daar heeft de indiener van het amendement 
op stuk nr. 17 een punt. Ik meen dat de heer Oskam ook zei 
dat dit eronder moet vallen. Nu, dit valt eronder. Zo moeten 
wij de wet ook uitleggen. 


De heer Oskam (CDA): 

Dat moet er zeker onder vallen. Het amendement is inge¬ 
diend omdat er veel discussie was over wat het CBP moet 
doen, wat het kan doen en wat de mogelijkheden zijn. 
Vandaar dat wij hebben gezegd dat wij moeten kijken naar 
de redelijkheid en moeten kiezen voor de overall-toets op 
basis waarvan wij alles afwegen. De staatssecretaris heeft 
een en ander nu uitgelegd. Ik snap zijn conclusie dat het 
amendement overbodig is, maar wij willen toch nog eens 
benadrukken wat wij bedoelen, omdat daar zo veel discussie 
over was. 


Staatssecretaris Teeven: 

Ik ben blij met de uitleg van de heer Oskam. Het vierde lid 
van artikel 66 bevat ook een uitzondering op de verplichte 
tussenstap van de bindende aanwijzing. Daarmee is overi¬ 
gens niet gezegd dat de bevoegdheid niet meer zou bestaan; 
daarmee is alleen gezegd dat de verplichting vervalt. Het 
college kan daar dus nog steeds voor kiezen. Ook als wel¬ 
licht te bewijzen valt dat er sprake is van voorwaardelijke 
opzet en een directe boete tot de mogelijkheden behoort, 
kan het College bescherming persoonsgegevens ervoor 
kiezen om met een bindende aanwijzing te werken. Het 
college kan daarbij een termijn stellen waarbinnen de 
overtreding moet worden beëindigd. Als de aanwijzing 
wordt opgevolgd, is de boete niet meer nodig. 

Ik moet misschien nog wel iets zeggen over een andere 
suggestie die door de indiener is gedaan. Die had betrekking 
op iets wat we in het strafrecht kennen, het opleggen van 
een voorwaardelijke boete. Stel iemand meldt een datalek, 
maar heeft zelf al allerlei maatregelen genomen om het lek 
te beëindigen. Om te voorkomen dat het lek nog een keer 
voorkomt, leg je dan een boete op met een proeftijd van 
een aantal jaren. Ik moet zeggen dat de Algemene wet 
bestuursrecht zich daartegen verzet. Ik verwijs uw Kamer 
daarvoor naar de behandeling van de vierde tranche van 
de Algemene wet bestuursrecht, de Handelingen 2003-2004, 
pagina 133 en 134, waarin nadrukkelijk is opgenomen dat 
een voorwaardelijke boete zich niet verdraagt met het stelsel 
van het bestuursrecht. Een voorwaardelijke boete behoort 
niet tot de mogelijkheden. De heer Oskam noemde het zelf 
ook al. Toen hij met dat op zich sympathieke argument 
kwam, zei hij: misschien kun je dat ook op een andere wijze 
ondervangen. Ik wist dat ook niet uit mijn hoofd, maar ben 
erop gewezen dat dit in de vierde tranche van de Algemene 
wet bestuursrecht is uitgezonderd. Maar de last onder 
dwangsom is natuurlijk in feite een instrument dat je op 


deze wijze ook zou kunnen gebruiken. Dat kan dezelfde 
uitwerking hebben als het opleggen van een voorwaarde¬ 
lijke boete. Daar wil ik nog wel op wijzen. 


De voorzitter: 

Ik heb nog een klein formeel puntje. U hebt het amende¬ 
ment op stuk nr. 17 nog niet van een kwalificatie voorzien. 


Staatssecretaris Teeven: 

Ik heb uitgelegd dat het amendement op stuk nr. 16 een 
aantal zaken al regelt, in combinatie met het wetsvoorstel. 
Ik denk dat het amendement op stuk nr. 17 overbodig is in 
dit geval. Ik heb geprobeerd dat toe te lichten. 

Dan kom ik op het amendement op stuk nr. 18, ingediend 
door de heer Schouw c.s. In dat amendement wordt gere¬ 
geld dat het bereik van de meldplicht wordt verruimd door 
incidenten die leiden tot een aanmerkelijke kans op ernstige 
nadelige gevolgen eveneens onder het bereik van de 
meldplicht te brengen. De protocolplicht blijft overigens 
beperkt tot de aan het college gemelde lekken. Dat moeten 
we nadrukkelijk zien. Ik zie dit amendement als een verrui¬ 
ming en als een stimulans om bij incidenten met potentieel 
ernstige nadelige gevolgen voor de bescherming van per¬ 
soonsgegevens de toezichthouder daarvan in kennis te 
stellen. Mocht nadien blijken dat het loos alarm was, wat 
uiteraard kan voorkomen, dan kan die melding altijd ach¬ 
teraf worden ingetrokken. Wat wel belangrijk is, is dat die 
meldplicht ook in verruimde vorm enige clausulering bevat, 
zodat niet elk potentieel datalek, klein en groot, gemeld 
gaat worden. Dat is gezien de bredere reikwijdte van de 
Wet bescherming persoonsgegevens ook niet de bedoeling. 
Ik sta positief tegenover dit amendement en ik laat het 
oordeel over dit amendement graag over aan uw Kamer. 

Ik kom op het amendement op stuk nr. 19 van de leden 
Schouw en Segers. Over dit amendement hebben de leden 
in eerste termijn uitgebreid gesproken. Eigenlijk regelt ook 
dit amendement twee dingen, maar dan in een net iets 
andere vorm. Het amendement regelt dat het college niet 
gebonden is aan enigerlei wettelijke verplichting om voor¬ 
afgaand aan het opleggen van een bestuurlijke boete van 
de zwaarste categorie een bindende aanwijzing te geven. 
Het CBP is bevoegd om een bindende aanwijzing te geven 
en kan daarbij een termijn stellen. Daarnaast regelt het 
amendement, net als het amendement op stuk nr. 16, een 
vereenvoudiging van de handhaving door het CBP, omdat 
ook niet-nakoming van een bindende aanwijzing zelfstandig 
bestuurlijk beboetbaar wordt gesteld. 

Wat dit amendement doet, is een discretionaire bevoegd¬ 
heid toedelen aan het college om voorafgaand aan het 
opleggen van een bestuurlijke boete een bindende aanwij¬ 
zing op te leggen. Er is dus geen sprake meer van een ver¬ 
plichting in bepaalde gevallen. Die bindende aanwijzing is 
natuurlijk een normconcretiserend besluit, waarin het col¬ 
lege in een individueel geval nog eens precies uitlegt wat 
de normen van de Wet bescherming persoonsgegevens 
betekenen. Die normconcretisering is, denk ik, vanuit het 
perspectief van bedrijven en organisaties belangrijk. Ik ben 
dat eens met degenen die daar opmerkingen over hebben 
gemaakt. In tal van situaties kan er discussie ontstaan over 
de vraag hoe de normen van de Wet bescherming persoons¬ 
gegevens precies moeten worden uitgelegd. Dat hangt ook 
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samen met het algemene en abstracte karakter van de 
normen. Dat is al bij de evaluatie van de Wet bescherming 
persoonsgegevens in 2009 geconstateerd. 

Het is van belang dat de burger — velen hebben dat 
genoemd in het kader van de rechtszekerheid — in een 
aantal gevallen nadere duidelijkheid krijgt alvorens met een 
zeer forse boete te worden geconfronteerd. Dat weegt bij 
bestuurlijke bestraffing extra zwaar naar het oordeel van 
het kabinet, zeker als normhandhaving en bestraffing in 
één hand zijn. Als die extra duidelijkheid niet nodig is omdat 
een verantwoordelijke heel goed weet wat er van hem wordt 
verwacht, dan is de bindende aanwijzing niet nodig. Daarom 
is in artikel 66, lid 4, het opzettelijk handelen, inclusief 
voorwaardelijke opzet, meegenomen. Als het amendement 
op stuk nr. 16 wordt aangenomen, geldt dit ook voor het 
ernstig nalatig handelen. In de optiek van de regering is het 
echt de verantwoordelijkheid van de wetgever in formele 
zin om die afweging te maken en niet die van de onafhan¬ 
kelijke toezichthouder middels een beleidsregel. Tegen de 
vereenvoudiging van de handhaving, het tweede onderdeel 
van het amendement, bestaat uiteraard geen bezwaar. Het 
tweede deel is ook geregeld in het amendement op stuk 
nr. 16, maar het eerste gedeelte van het amendement van 
de heren Schouw en Segers moet ik ontraden. 

Ik kom nu toe aan de beantwoording van de vragen. De 
heer Schouw sprak over een evaluatie binnen vijfjaar na 
inwerkingtreding. De evaluatie moet zich op een aantal 
dingen richten. Ik noem de naleving van de meldplicht, de 
toepassing van het college van de boetebevoegdheid in de 
praktijk, de uitwerking op de bescherming, de hanteerbaar¬ 
heid van de administratieve lasten en de nalevingskosten 
voor de bedrijven en organisaties die ermee te maken krij¬ 
gen. Het wetsvoorstel zelf bevat in artikel IVa een evaluatie- 
plicht die inhoudt dat er een evaluatie moet worden uitge¬ 
voerd op de meldplicht datalekken en de boetebevoegdheid 
binnen één jaar na het van toepassing worden van de 
komende EÜ-verordening. Tussen het van kracht worden 
en van toepassing worden van de verordening zit naar de 
inschatting van het kabinet een implematietermijn van 
ongeveer twee jaar. De gedacht achter de evaluatieplicht 
in het wetsvoorstel is dat wij lering kunnen trekken uit de 
nationale ervaringen met de meldplicht en de verruimde 
boetebevoegdheid ten behoeve van het toezicht en de 
handhaving door het CBR De heer Schouw was nog niet 
in de zaal toen ik het eerder zei en daarom herhaal ik dat 
de vaststelling en inwerkingtreding van de verordening 
zeker niet voor 2016 wordt verwacht, gelet op een aantal 
onderwerpen die op dit moment in discussie zijn binnen 
een aantal lidstaten en het Europees Parlement. In het 
allergunstigste geval zou een evaluatie eind 2016 kunnen 
plaatsvinden of anders in 2017. 


De heer Van Nispen (SP): 

Ik begrijp dat wij pas goed kunnen evalueren nadat de 
Europese verordening in werking is getreden. Dan kunnen 
wij de wetswijziging vergelijken met wat in de Europese 
verordening wordt geregeld. Het valt een beetje tegen qua 
onderhandelingsproces. Het gaat nog wel even duren. Is 
het dan niet goed om toch zelf een termijn van een aantal 
jaar te kiezen, zoals wij dat ook bij andere wetten doen en 
het niet af te laten hangen van enkel het in werking treden 
van die verordening? Het is interessant om te weten hoe 
deze wet gaat uitpakken. Ik heb daar specifiek naar gevraagd 
met het oog op de capaciteit van het CBR 


Staatssecretaris Teeven: 

Het is een beetje onzeker. Aanvankelijk dacht ik dat het snel 
zou gaan met die verordening, maar na de laatste informele 
raad in Letland en gezien het standpunt van de Commissie 
en het Europees Parlement aan de ene kant en het stand¬ 
punt van de overgrote meerderheid van de lidstaten aan 
de andere kant, verwacht ik dat er nog een aantal harde 
noten te kraken zijn in 2015. Daarom denk ik dat het goed 
is om te zeggen dat we deze wet binnen vijf jaar zouden 
moeten evalueren als hij in 2015 in werking zou treden. Ik 
ga er daarbij dus even van uit dat de wet nog dit jaar in 
werking zou treden. Die evaluatie binnen vijfjaar zou dan 
dus sowieso moeten gebeuren, los van wat er in Europa 
gebeurt, omdat het volgens mij wel belangrijk is om te 
bekijken waar de omissies en de problemen zitten. Ik denk 
dat de heer Schouw en de heer Van Nispen hierin wel gelijk 
hebben: ook los van de verordening zou je moeten bezien 
hoe dit op nationaal niveau uitwerkt. Wat kunnen we ervan 
leren? Dat zal natuurlijk veelvuldig gebeuren in het regulier 
overleg dat ik met de voorzitter van het College bescher¬ 
ming persoonsgegevens heb. Dat zullen wij ook tussentijds 
bezien, maar ik zal de Kamer daarover ook rapporteren. 
Wat is de uitwerking? Hoeveel meldingen in het kader van 
de meldplicht datalekken zijn er? Volgens mij is het goed 
om dat ook te registreren. Ik denk dat een totale evaluatie 
na vijf jaar een redelijke termijn is. 

Ik kom op de reikwijdte van de meldplicht. In eerste 
instantie sloot de tekst van het wetsvoorstel aan bij de 
meldplicht uit artikel 11.3a van de Telecommunicatiewet. 
Wat ik hierover ga zeggen, is misschien ook nog even een 
toelichting bij het amendement op stuk nr. 19. Dit hoort 
daar eigenlijk ook nog bij. In de Telecommunicatiewet wordt 
er eigenlijk van uitgegaan dat in beginsel elk datalek moet 
worden gemeld, ongeacht de impact. Daarom ontbreekt in 
de Telecommunicatiewet ook het woord "ernstige". Daarbij 
moet je je wel bedenken dat de meldplicht voor de Telecom¬ 
municatiewet uitsluitend geldt voor aanbieders van open¬ 
bare elektronische communicatiediensten, dus telecomaan- 
bieders. Het wetsvoorstel waarover wij nu spreken, ziet op 
iedereen die persoonsgegevens verwerkt. Dat kunnen par¬ 
ticulieren zijn, zzp'ers, plaatselijke sportclubs, kleine 
bedrijven, maar ook wereldwijd opererende multinationals 
die in Nederland zijn gevestigd. De reikwijdte van deze 
meldplicht is dus vele malen groter dan de meldplicht van 
de Telecommunicatiewet. Zonder een nadere afbakening 
zou de handhaving van deze meldplicht vrijwel onbeheers¬ 
baar worden. Vandaar dat in het wetsvoorstel, maar volgens 
mij ook in de amendementen, staat dat het moet gaan om 
datalekken met ernstige gevolgen. 

Laat ik eens een voorbeeld noemen. Een en ander betekent 
bijvoorbeeld dat het in beginsel niet hoeft te worden gemeld 
als de ledenlijst van de plaatselijke korfbalvereniging op 
straat is komen te liggen, maar wel als derden zich 
onrechtmatig toegang hebben verschaft tot de patiëntgege¬ 
vens van een plaatselijk ziekenhuis. Dat voorbeeld is van¬ 
avond al langsgekomen. Waar zou je nou naar moeten kij¬ 
ken en wat zou je nou moeten meenemen bij de beoordeling 
of er sprake is van ernstige nadelige gevolgen? Volgens 
mij is het goed dat we dat bij deze wetsbehandeling aan 
de orde hebben. Ik zou graag enige reflectie daarover horen 
van de leden van de Kamer, hetzij in een interruptie, hetzij 
in de tweede termijn. Volgens het kabinet zou je daarbij 
kunnen denken aan de aard en de omvang van het datalek. 
Je zou kunnen denken aan de aard van de gelekte persoons¬ 
gegevens. Je zou ook kunnen denken aan de mate waarin 


Tweede Kamer 


Meldplicht datalekken 


5 februari 2015 
TK 51 


51-9-23 



technische beschermingsmaatregelen zijn getroffen. 
Mevrouw Oosenbrug noemde een aantal voorbeelden uit 
haar oude werkkring. Zelfs als er patiëntgegevens van 
slechts één huisarts op straat komen te liggen, kan er al 
sprake zijn van ernstige gevolgen. In zo'n geval gaat het 
immers dan wel niet om veel gegevens, maar wel om heel 
gevoelige gegevens. Dan is de omvang van het datalek 
weer niet van belang. Je moet dus ook nog een verschil 
maken tussen enerzijds aard en omvang, en anderzijds 
gevoeligheid. Dat kan op zich ook weer met elkaar cumule¬ 
ren, maar ook kunnen die zaken los van elkaar omstandig¬ 
heden zijn die je mee moet laten wegen. 

Komt het ledenbestand van die plaatselijke korfbalvereni¬ 
ging op straat te liggen, dan zal er dus niet snel sprake zijn 
van ernstige nadelige gevolgen, maar dat zou anders kun¬ 
nen zijn als het daarbij gaat om een ledenbestand waarin 
specifiek is opgenomen wie van die leden betalingsachter¬ 
standen hebben. Dan zou een en anderweer anders kunnen 
liggen, want dat zijn weer meer gevoelige gegevens. Het 
gaat naar mijn mening dus om de omstandigheden van het 
geval. Een aantal leden heeft gezegd: dat moeten we nu 
echt aan het college laten. Naar mijn mening bevatten het 
wetsvoorstel en de amendementen die ik vanavond heb 
omarmd een werkbare, evenwichtige afbakening van de 
meldplicht. Ik zie op dit moment achter de rug van de heer 
Schouw, die bij de interruptiemicrofoon staat, de voorzitter 
van het college op de publieke tribune instemmend knikken. 


De heer Schouw (D66): 

Dit zou iets kunnen uitlokken, maar dat laat ik even. De 
staatssecretaris vroeg om reflectie en hij noemde een paar 
dingen. Ik houd hem ook even twee dingen voor die ik in 
mijn inbreng ook aan de orde heb gesteld. Ik doel op de 
positie hierbij van kwetsbare groepen, bijvoorbeeld van 
gehandicapten of jongeren. Telt een datalek waarbij het 
over zulke groepen gaat volgens de staatssecretaris 
zwaarder mee dan wanneer het gaat om mensen zoals hij 
en ik? 


Staatssecretaris Teeven: 

Het is goed dat de heer Schouw daarvoor aandacht vraagt. 
Er zijn mensen in de samenleving die zich niet kunnen 
beschermen en daarom extra kwetsbaar zijn. Zij zijn 
afhankelijk van anderen die hen moeten beschermen. In 
het verleden zijn er ook gevallen geweest waarin onzorgvul¬ 
dig, ernstig nalatig en opzettelijk onzorgvuldig met hen is 
omgegaan. Zeker als het mensen betreft die zichzelf niet 
goed kunnen beschermen, bijvoorbeeld omdat ze niet bij 
machte of niet voldoende toerekeningsvatbaar zijn om 
erover na te denken, kan dat een omstandigheid zijn die 
met zich brengt dat de gegevens extra gevoelig zijn ten 
opzichte van die van andere personen. In een individuele 
casus kunnen de kring van te beschermen personen en de 
gevoeligheid feitelijke omstandigheden zijn die van invloed 
zijn. 


De heer Schouw (D66): 

Dan nog een tweede punt. Ik heb het voorbeeld genoemd 
van bedrijven en organisaties die als kerntaak hebben om 
gegevens te verwerken. Als die in de fout gaan, moet dat 
dan zwaarder of anders tellen dan wanneer het bijvoorbeeld 
gaat om een groentehal, die een andere kernactiviteit heeft? 


Staatssecretaris Teeven: 

Ik denk dat iedereen met dit wetsvoorstel te maken kan 
krijgen. Voor degenen die belast zijn met de verwerking 
van gegevens mag een extra mate van zorgvuldigheid 
worden verwacht. Ik kan mij voorstellen dat bij herhaling 
— dat noemen we in het strafrecht recidive — ten aanzien 
van die personen de gevoeligheid of in ieder geval de ver¬ 
wijtbaarheid eerder een rol kan gaan spelen. 


De heer Schouw (D66): 

Dat is heel mooi. Begrijp ik goed dat de voorbeelden die 
we nu met elkaar bespreken, hun weerslag moeten zien te 
vinden in de richtlijnen? 


Staatssecretaris Teeven: 

Ik denk dat het college bij uitstek de autoriteit is in dezen. 
De heer Oskam zei het heel treffend: het is een maat voor 
het opbouwen van jurisprudentie waardoor je na een peri¬ 
ode van vijf jaar inzicht krijgt in wat het college de norm 
acht die gehandhaafd moet worden. Er zijn individuele 
casussen mogelijk, bijvoorbeeld een huisarts of een kinder¬ 
dagverblijf, waarin op die wijze de jurisprudentie wordt 
gevormd. Dat is wel iets wat het college moet gaat doen. 
Dat is immers de toezichthouder die we daarvoor hebben 
aangesteld. 


De heer Oskam (CDA): 

De staatssecretaris geeft mooie voorbeelden, maar om het 
scherp te krijgen heb ik nog even een ander voorbeeld. Stel 
dat er geen daadwerkelijke schending van de privacy 
plaatsvindt. Er is een lek of een veiligheidsprobleem, maar 
de gegevens worden niet door derden ingezien en dat staat 
ook vast. Kan die omstandigheid meewegen? Zou het CBP 
voorzichtig moeten zijn om in dat soort gevallen een boete 
op te leggen? 


Staatssecretaris Teeven: 

Hierover heb ik al iets gezegd bij de bespreking van het 
amendement op stuk nr. 17. Ook mevrouw Oosenbrug heeft 
daar iets over gezegd. Als iemand constateert dat er een 
fout is gemaakt of als iemand constateert dat hij op onjuiste 
wijze is omgegaan met gegevensbestanden, maar hij zelf 
al herstel heeft gepleegd, dan kan dat uiteraard een 
omstandigheid zijn voor het college om te zeggen: dat leidt 
niet tot een bestraffing. Dat zou heel goed kunnen. 


De heer Oskam (CDA): 

Dat is actief optreden. Stel dat er een fout is, een veiligheids¬ 
lek, waardoor gegevens op straat kunnen komen. Die 
gegevens zijn niet ingezien door derden. Het is bijvoorbeeld 
tijdig opgepakt door de politie of de gegevens zijn anders¬ 
zins kwijtgeraakt. In elk geval heeft niemand die gegevens 
gezien. Is dat een omstandigheid die in het voordeel van 
die organisatie kan meewegen? 


Staatssecretaris Teeven: 

Ik denk daar even over mee. Het is belangrijk om dit met 
elkaar te duiden. Het is van belang of degene die betrokken 
is bij het gegevenswerk, of hij zelf die fout ontdekt en her¬ 
stelt of dat los van de wil van de gegevensverzamelaar de 
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fout wordt hersteld door een derde. Dat is dan toch net 
weer iets anders. Dat zijn allemaal zaken die het college zal 
moeten wegen. Daarvoor zal het de richtsnoeren en de 
beleidslijnen moeten opstellen. In de praktijk zal elke casus 
individueel moeten worden beoordeeld. 


Mevrouw Oosenbrug (PvdA): 

De staatssecretaris vraagt om een reflectie op dit onder¬ 
werp: in welke casus wel en in welke niet? Dat geeft al aan, 
terwijl ik hier luister naar mijn collega's, hoe complex de 
materie is. Wat is wel een privacyschending en wat niet? 
Het begint nu een beetje te zweven. Ik denk dat we weer 
even terug moeten naar de basis. Op het moment dat er 
buiten jouw schuld om een hack wordt gepleegd en gege¬ 
vens worden gestolen, dan heb je die meldplicht. Daar zijn 
we ontzettend blij mee. Het gaat mij persoonlijk te ver om 
vervolgens een boete op te leggen omdat iemand gehackt 
is. Diegene meldt het en heeft zijn systemen op orde. We 
weten inmiddels: hoe goed je het systeem ook beschermt, 
there is always a bigger fish. Er wordt altijd gekeken of men 
toch het systeem in kan. Waar leg je dan de grens? Ik zou 
toch kijken of het bedrijf dat de gegevens moet verwerken 
er alles aan heeft gedaan om ervoor te zorgen dat die goed 
beschermd zijn, via encryptie, een goede firewall of andere 
mogelijkheden, die ik niet op zal noemen. Of heeft men 
gedacht toen er extra geld te besteden was: we kopen een 
mooi bureau voor de directeur en we laten het systeem 
nog even met touwtjes aan elkaar hangen? Ik denk dat dit 
eerder de discussie is dan datje het per casus gaat bekijken. 
Het gaat om de grondhouding bij het verwerken van per¬ 
soonsgegevens. 


Staatssecretaris Teeven: 

Ik dank mevrouw Oosenbrug voor de reflectie. Ik heb de 
mate genoemd waarin technische beschermingsmaatrege¬ 
len zijn genomen. Dat is bij uitstek iets wat kan bijdragen 
aan het oordeel of er sprake is van ernstige nadelige 
gevolgen. Andere punten zijn de omvang van het datalek, 
de aard van de gelekte gegevens en vooral de gevoeligheid 
daarvan. Ik denk dat wij er als wetgever in die vorm over 
moeten spreken. Er zijn heel duidelijke voorbeelden voor¬ 
gelegd. Als je een gegevensbestand hebt van mensen die 
zichzelf niet kunnen beschermen, als je daar onzorgvuldig 
mee omgaat en als dat ernstige nadelige gevolgen heeft, 
dan kan dat een omstandigheid zijn die extra meeweegt, 
zoals de heer Schouw naar voren bracht. Dit is wel iets wat 
uiteindelijk casuïstisch moet worden ingevuld, dat ben ik 
met de heer Oskam en vele anderen eens. 

De heer Bisschop heeft gevraagd of altijd duidelijk is wan¬ 
neer passende technische maatregelen zijn genomen. Dan 
gaat het over versleuteling en encryptie. In artikel 34a, lid 
6, wordt de lat voor die passende technische maatregelen 
heel hoog gelegd. De verwerkte persoonsgegevens moeten 
onbegrijpelijk of ontoegankelijk zijn gemaakt voor derden 
die geen recht hebben op kennisneming van die gegevens. 
Daar kan in de praktijk wel discussie over bestaan, want 
een adequate versleuteling is natuurlijk altijd afhankelijk 
van de stand van de techniek en de ontwikkelingen die 
daarin in de tijd kunnen plaatsvinden. Het CBP zal daar ook 
richting en duiding aan moeten geven, door die richtsnoe¬ 
ren, maar volstrekte duidelijkheid kunnen we in de wet niet 
geven, zeg ik tegen de heer Bisschop. 


De heer Segers heeft nog gevraagd hoe die boete in andere 
landen is geregeld. Hij vroeg ook om een doorkijkje naar 
de verordening die voorligt. We hebben daar geen uitvoe¬ 
rige studie naar gedaan bij het opstellen van het wetsvoor¬ 
stel. In 2012 heeft er een beperkt inventariserend onderzoek 
plaatsgevonden naar de sanctionering van schending van 
privacyvoorschriften in andere landen. Bestuurlijke boete 
komt in andere landen veel voor, maar niet in alle 28 landen 
van de Europese Unie. In de verordening is het instrument 
van de bestuurlijke boete een enorme vernieuwing, om de 
handhaving van privacybescherming te versterken. Op 
grond van de verordening die nu voorligt, die uiteraard nog 
niet is afgerond, kunnen zeer hoge boetes worden opgelegd. 
Er is in de JBZ-Raad nog geen algemene overeenstemming 
over het hoofdstuk van de verordening waarin de sancties 
worden geregeld. Het is goed om vast te stellen dat daar¬ 
over nog onderhandelingen plaatsvinden. Dit hoofdstuk is 
wel geagendeerd door het Letse voorzitterschap en daar 
zal Luxemburg mee doorgaan. Ik denk dat het Nederlands 
voorzitterschap daar ook mee door zal moeten gaan. 

De heer Van Nispen vroeg om het wetsvoorstel te vergelij¬ 
ken met de inhoud van de verordening. Ik heb daar al iets 
over gezegd. Ik denk dat de tekst van het wetsvoorstel wel 
ruimte bevat om deze ook EU-conform te interpreteren. Dat 
is eigenlijk ook het antwoord op de vraag van de heer Van 
Wijngaarden over nationale koppen: nee, die komen er niet 
op. 

Mevrouw Helder sprak over de meldplicht en wees erop 
dat de clausulering "tot ernstige nadelige gevolgen" wel in 
het wetsvoorstel voorkomt, maar niet in de conceptteksten 
van de Europese verordening. Dat heeft mevrouw Helder 
juist gezien. In het oorspronkelijke Commissievoorstel van 
januari 2012 zat nauwelijks enige clausulering. In Europa 
is het denken echter ook voortgeschreden, niet in het minst 
onder de invloed van de nationale dataprotectietoezichthou- 
ders, die onder aanvoering van de Europese voorzitter op 
de trom hebben geslagen. Dat heeft ertoe geleid dat er nu 
in JBZ-verband wordt gewerkt aan een tekst waarin ook 
beperkende elementen zitten. Niet precies op dezelfde 
manier als in ons wetsvoorstel, langs iets andere lijnen, 
maar wel met dezelfde intentie om de plicht op reële priva- 
cyrisico's toe te spitsen en geen onnodige lasten op te leg¬ 
gen. 

Mevrouw Oosenbrug heeft mij gevraagd naar de meest 
recente ontwikkelingen. In Hoofdstuk VI van de verordening, 
waarin de meldplicht datalekken is opgenomen, is in okto¬ 
ber 2014 wel een algemene benadering vastgesteld. De 
meldplicht is daarin toegespitst op beveiligingsincidenten 
die een hoog risico meebrengen op negatieve gevolgen 
voor de fundamentele rechten en vrijheden van betrokke¬ 
nen. 

De heer Van Nispen vroeg mij nog naar de infractieproce- 
dure. Eigenlijk is dat nu een beetje achterhaald. Met het 
amendement dat ik zojuist heb omarmd, hebben we dat 
risico in feite afgewend. Kijkend naar de verordening moet 
ik daarover wel opmerken dat de heer Van Nispen, de heer 
Schouw en anderen die daarover vragen hebben gesteld, 
wel een punt hadden. Ik merk daarbij op dat de Raad van 
State, kijkend naar de thans vigerende richtlijn 95/46, heeft 
gezegd dat artikel 28 van die thans vigerende richtlijn 
ministeriële goedkeuring mogelijk maakt. Ik heb dit ook 
gemeld in mijn brief aan de Kamer van 30 januari jongstle- 
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den. Ik moet het wel met het College bescherming persoons¬ 
gegevens eens zijn dat er risico's bestaan, ik denk dat we 
die risico's met een wijziging van het amendement- 
Segers/Schouw hebben beperkt tot nul. Dat is de vaststel¬ 
ling die ik op dit moment kan doen. 

De heer Van Wijngaarden stelde mij een vraag over het 
publicatiebeleid. Ik proefde bij hem enige kritiek op het 
publicatiebeleid van het College bescherming persoonsge¬ 
gevens. Ik heb daar zelf ook weleens wat kritiek op geuit. 
Ik zie de heer Van Wijngaarden naar de interruptiemicrofoon 
lopen; heb ik dat dus verkeerd geproefd? 


De heer Van Wijngaarden (VVD): 

Voordat de staatssecretaris op de veronderstelde kritiek 
ingaat, wil ik een en ander corrigeren. Ik heb alleen gewezen 
op het potentiële effect, het risico op reputatieschade. Soms 
is dat gewoon onvermijdelijk, maar het vergt wel het nodige 
om te voorkomen dat dit ontstaat. Ik wilde dat opgehelderd 
hebben. 


Staatssecretaris Teeven: 

Dan moet ik vaststellen dat ik alleen sta in die kritiek. Maar 
in antwoord op de vraag: de constatering dat de beleidsre¬ 
gels van het college over actieve openbaarmaking aanpas¬ 
sing behoeven, lijkt mij op zich juist. De bevoegdheid om 
die beleidsregels vast te stellen, komt uiteraard aan het CBP 
zelf toe. Ik ben echter zeer bereid om aan het CBP te vragen 
of het college mij, voorafgaand aan de inwerkingtreding 
van de wet, in de gelegenheid wil stellen om de Kamer te 
informeren over de aangepaste beleidsregels op dit punt 
van de publieke voorlichting. Ik weet zeker dat de voorzitter 
van het college dat ook wil. 

De heer Van Nispen vroeg verder hoe hij een "inbreuk op 
beveiliging" moet zien. Het enkele tekortschieten van de 
beveiliging of een kwetsbaarheid in de beveiliging is op 
zichzelf geen datalek, maar er kan wel sprake zijn van een 
overtreding van de beveiligingsplicht die is opgenomen in 
artikel 13 van de Wet bescherming persoonsgegevens. Het 
college is dan bevoegd tot de handhaving van de beveili¬ 
gingsplicht. Bij het recente voorval rond de energiemeter 
was een journalist met persoonsgegevens van een ander 
binnengekomen in het systeem waar de meetgegevens 
waren opgeslagen. Die actie levert dan strikt genomen wel 
een datalek op. Die journalist heeft daarmee tegelijkertijd 
een zwakke plek in de beveiliging blootgelegd. Dat is de 
zogenaamde responsible disclosure die dan plaatsvindt. 

Mevrouw Helder heeft gevraagd — de heer Van Wijngaar¬ 
den en andere leden hebben dit ook gedaan — of het Col¬ 
lege bescherming persoonsgegevens voldoende expertise 
op het technologisch vlak heeft. De snelle technologische 
ontwikkelingen roepen voortdurend nieuwe vragen op die 
verband houden met de bescherming van persoonsgege¬ 
vens. Het gaat dan om de verbinding tussen recht en tech¬ 
nologie. Het vraagt ook om kennis op dat snijvlak van recht 
en technologie. Ik heb alle aanleiding om op dit moment 
te veronderstellen dat het college zich hiervan bewust is 
en dat er bereidheid bestaat om bij organisaties die meer 
knowhow hebben, zoals het Nationaal Cyber Security Cen¬ 
trum, expertise in te winnen. Anderzijds is er bij die organi¬ 
saties bereidheid om die bijstand te verlenen. 


Mevrouw Oosenbrug vroeg mij op welke wijze gemelde 
lekken worden gebruikt om lessen uit te trekken en onvei¬ 
ligheid mee te bestrijden. 

De heer Van Wijngaarden (VVD): 

Ik kom nog even terug op dat vorige punt. Waaruit bestaat 
de bereidheid om expertise in te winnen? 


Staatssecretaris Teeven: 

Er is bereidheid bij het college om expertise in te winnen 
als het daarover geen beschikking heeft en er is bereidheid 
bij het Nationaal Cyber Security Centrum en andere organi¬ 
saties, onder meer bij de Nationale Recherche, om het col¬ 
lege te informeren over kennis en knowhow die aanwezig 
is. Er is dus wederzijds bereidheid om technologische kennis 
uit te wisselen als dit noodzakelijk is. 


De heer Van Wijngaarden (VVD): 

Ik hoor de staatssecretaris dus ook onderschrijven dat hij 
zich heel goed kan voorstellen dat die noodzakelijkheid er 
is. 


Staatssecretaris Teeven: 

Dat zou kunnen, maar het is uiteraard aan het college om 
dat te beoordelen. Ik heb wel geverifieerd of er bereidheid 
is om de expertise, die noodzakelijkerwijze moet worden 
ingeleend of verkregen, ook aan de andere zijde te verstrek¬ 
ken. Er zijn op dat punt geen belemmeringen. 


Mevrouw Helder (PVV): 

Bereidheid is altijd mooi, maar is daartoe ook een mogelijk¬ 
heid? Ik weet niet hoe het werkt. Is er financiële ruimte of 
moet die nog gemaakt worden? Als die ruimte er is, is de 
bereidheid voldoende. Ik wil dattoch nog graag even scherp 
horen. 


Staatssecretaris Teeven: 

Naar mijn mening zijn er ook structurele gelden bij geplust 
bij het College bescherming persoonsgegevens. De heer 
Schouw heeft dit twee jaar geleden nog geregeld. Ik heb 
geen aanleiding om te veronderstellen dat het budget van 
het college niet voldoende is. 

Mevrouw Helder (PVV): 

Van die andere organisaties ook niet? Ik doelde ook op het 
NCSC. 


Staatssecretaris Teeven: 

Zeker. Het Nationaal Cyber Security Centrum heeft in de 
begroting ook een bepaald bedrag opgenomen. Er is 
absoluut capaciteit, knowhow en kunde aanwezig om de 
kennis, indien noodzakelijk, met het college te delen. 

Dan kom ik op de vraag van mevrouw Oosenbrug over de 
lessen die kunnen worden getrokken. Het is de reguliere 
werkwijze van het college om signalen uit de samenleving 
te monitoren. Signalen kunnen ook aanleiding zijn om het 
beleid van het college aan te passen. Dit kan ook het geval 
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zijn bij meldingen van datalekken. Als een bepaald soort 
lek heel vaak voorkomt, kan dat voor het college aanleiding 
zijn om er extra aandacht aan te besteden. Er kan ook 
informatie worden uitgewisseld met andere autoriteiten, 
ook internationaal. Dit wetsvoorstel geeft het CBP ook de 
bevoegdheid om afspraken te maken met andere toezicht¬ 
houders en om samenwerkingsprotocollen vast te stellen. 
Met de ACM is al een dergelijk samenwerkingsprotocol 
gesloten. 

Op de werklasteffecten ben ik al ingegaan. De heer Van 
Nispen heeft gevraagd waarom ik ervan uitga dat die 
summier zullen zijn. Ik zal het meenemen in de wettelijke 
evaluatie. Het is een goede zaak om dat ook tussentijds te 
monitoren. De werklast waarvan ik nu denk dat hij summier 
is, kan in de komende jaren aanzienlijk toenemen. Je kunt 
dat niet uitsluiten. Ik denk het niet, maar ik weet dat niet 
zeker. In het reguliere overleg dat wij halfjaarlijks met het 
college hebben, zullen wij daarnaar kijken. 

Ik zou nog ingaan op de naamswijziging. Daar heb ik in het 
begin van mijn termijn al even over gesproken. "Gegevens¬ 
bescherming" is principieel een veel ruimer begrip dan 
"persoonsgegevens". Het wetsvoorstel verandert naar mijn 
oordeel helemaal niets aan de taakopdracht van het college. 
Primair houdt het toezicht en blijft het toezicht houden op 
de bescherming van persoonsgegevens. In de verordening 
wordt ook gesproken over toezichthouders op persoonsge¬ 
gevens. Ik hecht eraan om dat even te melden. Ik denk dus 
dat we aan die naamswijziging niets moeten veranderen. 

De heer Segers heeft mij gevraagd wanneer de wet wordt 
geëvalueerd. De wet en de werking ervan worden binnen 
één jaar geëvalueerd, maar we hebben net met elkaar 
besproken dat het goed zou zijn om het binnen vijf jaar te 
doen. Dit is de hoofdlijn: de verordening treedt binnen een 
bepaalde periode in werking na de verordening of los 
daarvan, de verordening treedt niet binnen vijfjaar in wer¬ 
king op nationaal terrein. 

De heer Van Nispen heeft gevraagd waarom de verantwoor¬ 
delijke zelf geen registratie moet bijhouden van de inbreuk 
op de beveiliging. De verplichting om binnen de organisatie 
een registratie bij te houden van alle inbreuken, ernstige 
of minder ernstige, vormt een behoorlijke administratieve 
last. Scholen en zzp'ers vallen bijvoorbeeld ook onder de 
reikwijdte van dit wetsvoorstel. Zo'n registratie moet vol¬ 
gens mij echt een toegevoegde waarde hebben, anders 
moeten we het niet doen. Ik heb al de algemene beveili- 
gingsverplichting genoemd die in artikel 13 van de Wbp is 
opgenomen. Daaruit vloeit ook voort dat de verantwoorde¬ 
lijke procedures moet hebben voor het tijdig en effectief 
behandelen van beveiligingsincidenten. Daar ziet het CBP 
ook op toe. Ik heb alle respect voor de aandacht die de heer 
Van Nispen heeft voor dit onderwerp, maar ik vind dat een 
registratieplicht geen of onvoldoende toegevoegde waarde 
heeft. 

Voorzitter, ik heb de vragen tot zover allemaal beantwoord. 


De heer Segers (ChristenUnie): 

Ik kom even terug op de samenwerking en de uitwisseling 
van informatie met het Nationaal Cyber Security Centrum. 
De staatssecretaris zegt dat er aan beide kanten bereidheid 
is om gebruikte maken van eikaars kennis. Heb ik dat goed 


begrepen? Ik zie de staatssecretaris knikken. Waar ligt de 
verantwoordelijkheid? Er zou namelijk ook een register 
moeten worden bijgehouden. Er moeten richtlijnen worden 
opgesteld. Het is de vraag of het college daarvoor de aan¬ 
gewezen figuur is. 


Staatssecretaris Teeven: 

Ik denk wel dat het college de aangewezen instantie is 
daarvoor. Dat moeten we met elkaar afspreken. Als het 
technologische bijstand nodig heeft, kan het met andere 
instanties samenwerken om die bijstand op peil te krijgen. 


De heer Segers (ChristenUnie): 

Ik kan me voorstellen dat het college op waardeniveau of 
op uitgangspuntenniveau richtlijnen kan uitvaardigen en 
kan zeggen waar een en ander aan moet voldoen. Als het 
echt om heel specifieke techniek gaat, ligt het volgens mij 
meer op het bordje van het Nationaal Cyber Security Cen¬ 
trum. Is dat ook de interpretatie van de staatssecretaris? Ik 
denk dat men daar in de praktijk mee uit de voeten kan. 


Staatssecretaris Teeven: 

We moeten de bevoegdheid laten daar waar zij hoort, bij 
het college, bij de autoriteit. Als er expertise moet worden 
ingewonnen, moet het college dat doen. 


De voorzitter: 

Ik dank u voor uw antwoorden in eerste termijn. Wij zijn 
toegekomen aan de tweede termijn van de zijde van de 
Kamer, met als eerste spreker de heer Schouw. 


□ 

De heer Schouw (D66): 

Voorzitter. Ik dank de staatssecretaris, die verantwoordelijk 
is voor het privacybeleid in dit land, voor zijn uitvoerige 
beantwoording van vragen over het wetsvoorstel. Mijn 
fractie is blij en verheugd dat het er eindelijk van is gekomen 
en dat we het op deze mooie donderdagavond kunnen 
behandelen. We hebben er veel over gevraagd. Het is goed 
dat we er nu, in het begin van 2015, een klap op kunnen 
geven. Ik hoop althans dat we dat aanstaande dinsdag 
kunnen doen, zodat het naar de overkant kan. 

Er is veel gesproken over de vraag of het een organisatie 
met tanden wordt. Een pitbull mocht het niet worden, maar 
een schoothondje willen we ook niet. Het zit er ergens tus¬ 
senin. Ik kan mij toch niet onttrekken aan het beeld van de 
labrador. Je komt twee soorten labradors tegen: de luie 
labrador die een allemansvriend en een vriend van het 
bedrijfsleven is en de actieve labrador die jaagt en signaleert 
en van wie een waarschuwende werking uitgaat. Ik hoop 
dat we die laatste soort met elkaar hebben gecreëerd. 

Ik ben blij met de coulante houding van de staatssecretaris 
tegenover de door de Kamer ingediende wijzigingsvoorstel¬ 
len. Van een groot aantal van die wijzigingsvoorstellen 
wordt het wetsvoorstel volgens mij namelijk beter. In mijn 
eerste termijn heb ik twee belangrijke verbeterpunten 
genoemd. Aan een belangrijk verbeterpunt, het amende- 
ment-Segers/Schouw, is tegemoetgekomen. Daarvoor dank 
ik de staatssecretaris. Het andere verbeterpunt blijft nog 
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staan, maar ik kan mijn knopen tellen. Wij zullen dus moeten 
nagaan hoe het in de praktijk uitwerkt. 

Ik heb nog wel een vraag over de omvorming van het 
amendement-Segers. De staatssecretaris heeft gezegd: we 
gaan het amendement zo omvormen dat de term "in over¬ 
leg" betekent dat de goedkeuring materieel bij het College 
bescherming persoonsgegevens komt te liggen. Hoe denkt 
de staatssecretaris die term "in overleg" in te vullen? Als je 
namelijk op je strepen blijft staan en de andere partij niet 
tegemoet wilt komen, en als wij nu afspreken dat we de 
term "in overleg" vastleggen in de wet, kan het weleens tot 
sint-juttemis duren voordat je een richtlijn hebt. Ik denk dat 
het goed is voor de wetsgeschiedenis als de staatssecretaris 
daarover iets zegt, want daar ontstaat vaak gedoe over. 

De voorzitter: 

Daarmee bent u, denk ik, aan het einde van uw termijn. 

De heer Schouw (D66): 

Nee, dat ben ik nog niet, maar ik zie de heer Van Wijngaar¬ 
den zo leuk dansen bij de interruptiemicrofoon. 

De voorzitter: 

Dan zullen wij de heer Van Wijngaarden vragen om zijn 
vraag te stellen. 

De heer Van Wijngaarden (VVD): 

Ik dank de heer Schouw voor het compliment. Hij heeft 
vanavond een hele bloemlezing gegeven waarin allerlei 
honden de revue passeerden. Hij heeft er net nog een paar 
aan toegevoegd. Het is belangrijk, ook voor de geschiedenis, 
om aan te geven dat ook wij een heel assertieve privacy- 
waakhond willen die kan blaffen en bijten. Daarover zijn 
wij het gewoon eens. Is de heer Schouw nu gerustgesteld, 
na de interpretatie die de staatssecretaris heeft gegeven 
aan ons amendement? Ik proefde namelijk nog wat onge¬ 
rustheid. 


De heer Schouw (D66): 

Ik kom nog even terug op de honden, voor de feitelijke 
geschiedenis. De heer Van Wijngaarden is begonnen met 
het noemen van honden. Hij verklaarde achter het katheder 
dat de VVD-fractie geen pitbull wil. Dat vond ik overigens 
een heel opmerkelijke uitspraak, want ik dacht altijd dat de 
VVD-fractie een waakhond met tanden wilde. Het moest 
echter geen pitbull worden. Dat heeft mij wel aan het den¬ 
ken gezet, niet alleen over de manier waarop de VVD tegen 
privacy aankijkt, maar ook over de achtergrond van het 
amendement van de heer Van Wijngaarden. Ik ben daar 
wantrouwig over. Ik heb echter net, toen de heer Van 
Wijngaarden hier even niet was, gezegd dat ik mijn knopen 
kan tellen. De naam van de PvdA-woordvoerster staat ook 
onder het amendement en dan heb je een meerderheid; 
dat snap ik wel. Ik kom hier straks even op terug om te 
bezien hoe wij hiervoor misschien wat waarborgen kunnen 
inbouwen. Ik had het echter liever niet gehad. 

Ik sprak over de term "in overleg". Bij mijn weten — ik hoop 
dat ik het goed zeg en dat ik het wetsvoorstel goed heb 
begrepen — moeten ook vijf andere richtlijnen dan opnieuw, 
in overleg met de staatssecretaris, worden besproken. Dat 


betreft de bestaande richtlijnen, die het CPB nu hanteert. 

Ik zie de staatssecretaris vragend kijken, maar volgens mijn 
informatie zouden ook de bestaande richtlijnen uit het oude, 
nog niet geamendeerde voorstel goedgekeurd moeten 
worden door de minister. Als we het amendement straks 
veranderen, betreft de term "in overleg" dan ook de 
bestaande voorstellen? 

Ik vraag voorts aan de staatssecretaris of bij de verdere 
invulling van de richtlijnen ook gesproken wordt met de 
FNV. Het is wel heel bijzonder dat ik dit moet zeggen. Het 
valt mij op dat vooral geluisterd is naar de kritiek van VNO- 
NCW. We hebben een brief gekregen van de FNV. Zij schrijft 
daarin: wij zijn er ook om de werknemers te beschermen; 
met ons is niet gesproken in het voortraject, terwijl werkne¬ 
mers soms ook last hebben van bazen die hen bespieden. 
Zij voelen zich daardoor in hun privacy aangetast. Ik wil de 
staatssecretaris dus aanmoedigen om ook die partij daarbij 
te betrekken. 

Ten aanzien van de naamgeving wil ik het volgende zeggen. 
Als je grote dingen regelt, moet je niet zeuren over onder¬ 
geschikte zaken, maar ik vind het wel een beetje een 
gemiste kans. Het wordt nu Autoriteit persoonsgegevens. 
Het gaat er echter om dat die autoriteit bedoeld is om de 
persoonsgegevens te beschermen. Dat is de taak: 
beschermen. Op de een of andere manier had dat tot uit¬ 
drukking moeten komen in de naam. Daarmee geef je ook 
aan wat de activiteit is. Ik vind dat dus een gemiste kans. 
Ik dien daar geen amendement over in, maar het zou beter 
zijn om het aspect bescherming in de naam mee te nemen. 

Tot slot kom ik op de evaluatie. Daar is over gesproken. 
Moet die na drie of vier jaar plaatvinden en vindt die dan 
plaats in het kader van Europa? Enfin, dat is mij niet hele¬ 
maal helder. Daarom leg ik samen met de heer Segers, mijn 
maatje, mijn gelegenheidscollega op dit belangwekkende 
dossier, de volgende motie voor aan de regering. 


Motie 
De Kamer, 

gehoord de beraadslaging, 

overwegende dat de Wet meldplicht datalekken en boete- 
bevoegdheid het College bescherming persoonsgegevens 
de mogelijkheid geeft om een bestuurlijke boete op te leg¬ 
gen en vereist dat de verantwoordelijken voor gegevensver¬ 
werking, datalekken moeten melden en een registratie 
moeten bijhouden van datalekken die zich voordoen; 

verzoekt de regering, de Wet meldplicht datalekken en 
boetebevoegdheid binnen vier jaar na inwerkingtreding te 
evalueren op in elk geval: 

- de naleving van de meldplicht; 

- de toepassing en de effectiviteit van de boetebevoegd¬ 
heid; 

- de administratieve lasten en de nalevingskosten voor 
gegevensverwerkers; 

- de aansluiting van de wet op Europese regels over 
gegevensbescherming; 

en de Kamer daarover te informeren. 
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en gaat over tot de orde van de dag. 

De voorzitter: 

Deze motie is voorgesteld door de leden Schouw en Segers. 
Naar mij blijkt, wordt de indiening ervan voldoende 
ondersteund. 

Zij krijgt nr. 20 (33662). 


De heer Schouw (D66): 

Tegen de heer Van Wijngaarden zeg ik het volgende. Als 
het amendement dat hij samen met mevrouw Oosenburg 
heeft ingediend, wordt aangenomen — en dat zal wel — 
dan valt ook het effect van wat in mijn ogen een beperking 
is, onder deze evaluatie. We gaan dan echter bekijken hoe 
dat uitvalt. 


□ 

Mevrouw Helder (PVV): 

Voorzitter. Ik dank de staatssecretaris voor de uitgebreide 
beantwoording. Ik rondde mijn eerste termijn af met de 
conclusie dat het wetsvoorstel goedbedoeld is, maar dat 
het naar de mening van mijn fractie duidelijk op twee 
gedachten hinkt. Enerzijds krijgt de toezichthouder meer 
tanden, maar anderzijds zal hij daar naar alle waarschijnlijk¬ 
heid niet voldoende mee kunnen bijten. Naar aanleiding 
van de antwoorden van de staatssecretaris in eerste termijn 
kwam iktot de conclusie dat de drempel voor de meldplicht 
inderdaad is verhoogd. Het moet gaan om een lek of inbreuk 
die daadwerkelijk ernstige gevolgen heeft gehad in plaats 
van om een ernstige inbreuk waarvan redelijkerwijs kan 
worden aangenomen dat hij leidt tot de aanmerkelijke kans 
op verlies van persoonsgegevens. Wat mijn fractie betreft, 
is dat jammer. Daarentegen heeft de staatssecretaris een 
aantal amendementen omarmd, waaronder een amende¬ 
ment waarin wordt geregeld dat het gaat om de aanzienlijke 
kans op ernstige, nadelige gevolgen. Daarmee wordt de 
drempel dus weer verlaagd. Daar ben ik positief over. 

Er is voorts een drempel met betrekking tot de bewijslast. 
Mijn fractie vroeg zich af hoe het CBP kan aantonen dat het 
opzet is. Die drempel was, wat mijn fractie betreft, te hoog. 
Ook op dat gebied heeft de staatssecretaris een amende¬ 
ment omarmd. Hij heeft voorts gezegd dat het gaat om 
opzet in de voorwaardelijke vorm. Daarmee wordt de 
drempel natuurlijk ook al enigszins verlaagd. 

Ten slotte heeft de staatssecretaris een amendement 
omarmd dat gaat over ernstige, verwijtbare nalatigheid, 
waaronder onachtzaam of onoordeelkundig handelen valt. 
Daarmee wordt de drempel ook verlaagd. 

Dat brengt mij tot de conclusie dat het wetsvoorstel met 
die amendering meer tanden geeft aan het CBP. Ik eindig 
dan ook met de opmerking dat ik mijn fractie positief zal 
adviseren. 

□ 


doelstellingen. Het introduceert een meldplicht datalekken 
en het introduceert een boetebevoegdheid met een ruime 
boete. Daar had de SP ook al langer op aangedrongen. Dat 
was dus sowieso al goed. 

De SP was kritisch over de uitwerking, maar er zijn op 
belangrijke punten amendementen ingediend. Daar is heel 
goed op gereageerd door de staatssecretaris. Dat mag ook 
wel eens gezegd worden. Wat dat betreft, sluit ik mij dus 
aan bij de woorden van collega Helder. 

De ministeriële goedkeuring vooraf was ook voor mijn 
fractie een belangrijk punt. Dat zal wellicht nog worden 
gewijzigd in voorafgaand overleg. Dat vind ik een belangrijk 
punt. Ik noem voorts de verruiming van het bereik van de 
meldplicht en het meteen kunnen trekken van de rode kaart. 
Dat zijn heel goede en noodzakelijke verbeteringen. Ik 
benadruk nogmaals dat mijn fractie die amendementen 
zeker zal steunen, zodat we inderdaad die waakhond met 
tanden krijgen die we met z'n allen willen. 

Ik heb in eerste termijn een heleboel vragen gesteld over 
het begrip "ernstig". De staatssecretaris heeft een aantal 
criteria en denkrichtingen genoemd en vroeg ons om 
daarop te reflecteren. Het ging daarbij om de aard en 
omvang van het lek, de gevoeligheid van de gegevens en 
de aard van de doorbreking van de beveiliging. Ik steun 
die. Ik kan daar vanuit mijn eigen gedachten nog aan toe¬ 
voegen: de aard van de in werking getreden gevolgen voor 
de slachtoffers van een datalek, de tijdigheid van het melden 
en/of de pogingen die door de verantwoordelijken zijn 
ondernomen om de schade te beperken. Dat zijn mogelijke 
aanvullingen daarop. 

Over de inbreuk op de beveiliging heeft de staatssecretaris 
ook het een en ander gezegd. Ik vraag hem toch om speci¬ 
fiek in te gaan op mijn twee voorbeelden waarin het ging 
over de vraag wanneer er nu sprake is van een inbreuk op 
de beveiliging. Is dat bijvoorbeeld ook als ziekenhuisperso¬ 
neel het wachtwoord kent van de arts? Dat was een voor¬ 
beeld waarbij er misschien geen sprake is van een datalek. 
Een ander voorbeeld was de werkgever die zich toegang 
verschaft tot de computer van de werknemer. Dan is er 
misschien geen beveiliging doorbroken, maar zegt de 
staatssecretaris hier nu toch dat er andere mogelijkheden 
zijn om daartegen op te treden, dus dat dat dan als het ware 
hetzelfde effect heeft? 

Tot slot heb ik iets recht te zetten, want ik had in eerste 
termijn gezegd dat het College bescherming persoonsgege¬ 
vens 125 mensen in dienst heeft. Het is nog erger dan ik 
dacht, want het zijn er slechts 80. Ik had de klassieke fout 
gemaakt door in de haast het CPB in te voeren. Daar werken 
namelijk 125 mensen. Dat is wel erg knullig. Het zijn er dus 
echt 80 die bij het CBP werken. Ik heb de staatssecretaris 
goed gehoord dat hij in de gaten zal houden of dat vol¬ 
doende mensen zijn, ook met deze wet in de hand. Ik zou 
nog wel, al hoeft dat niet per se vanavond, een keer een 
vergelijking willen zien met de privacywaakhonden in 
andere landen. Hoe zit het daar verhoudingsgewijs met de 
omvang van die privacywaakhonden en het aantal mensen 
dat daar in dienst is? 


De heer Van Nispen (SP): Goed dat we gaan evalueren. Ik heb de motie goed gehoord. 

Voorzitter. Ik heb in eerste termijn ruim de tijd genomen. Die vind ik wederom sympathiek, 
dus ik kan het nu een heel stuk korter houden. Ik benadruk 
nogmaals dat de SP dit een wet vindt met heel goede 
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□ 

De heer Bisschop (SGP): 

Voorzitter. Ik wil allereerst de staatssecretaris danken voor 
zijn gedegen beantwoording en op een aantal punten ook 
voor zijn positieve adviezen op amendementen die zijn 
ingebracht, waardoor sommige zaken net even iets worden 
aangescherpt. Wij stonden positief tegenover het voorstel 
dat voorlag. Een aantal amendementen zullen wij in ieder 
geval steunen. We moeten daarin nog als fractie een defini¬ 
tief standpunt innemen, maar dat verbetert het wetsvoorstel 
verder, zodat het nog meer aan het doel beantwoordt 
waarom het is ingediend. 

Het is en blijft, zoals wij allemaal merken, ook een beetje 
een zoektocht hoe je het goed formuleert en waar je de 
grenzen legt. Daarom is het goed om niet al te lang te 
wachten met een evaluatie om goed te bekijken of we de 
dingen nu goed hebben geregeld, zodat we daar zo nodig 
nog een verbeterslag in kunnen maken. 

Ik heb verder geen moties of amendementen, maar dank 
voor de gelegenheid om het woord te voeren. 

De voorzitter: 

U dank voor het voeren van het woord. 

□ 

De heer Van Wijngaarden (VVD): 

Voorzitter. Ik dank de staatssecretaris voor zijn constructieve 
grondhouding vanavond. We hebben vanavond gezocht 
naar evenwicht tussen democratische controle en vertrou¬ 
wen in het College bescherming persoonsgegevens. We 
hebben gezocht naar evenwicht tussen slagkracht en 
rechtszekerheid. Ik denk dat we dat ook in belangrijke mate 
hebben gevonden. 

Ik wil ook die leden danken die met een constructieve 
grondhouding kijken naar de amendementen. Ik wil de 
grootst mogelijke waardering uitspreken voor de inzet en 
de betrokkenheid van het CBP zelf en de 80 mensen die 
daar naar we net hebben begrepen werken, omdat we daar 
in de voorbereiding van dit debat heel veel van hebben 
gemerkt en gezien. Daaruit spreekt vooral heel veel 
betrokkenheid en deskundigheid, dus ik wens hen ook 
succes bij het uitoefenen van hun taak, en het CBP als 
instituut met haar rol als bewaker van het belangrijke 
grondrecht op privacy. Ongetwijfeld zal dat soms nog tot 
spanning gaan leiden, zowel met overheden als met 
bedrijven. Ik denk overigens iets meer spanning met over¬ 
heden dan met bedrijven, aangezien bij de eerste categorie 
meer gevoelige persoonsgegevens liggen. Maar die span¬ 
ning is ook precies wat we zoeken. Ik zou zeggen: zonder 
wrijving geen glans. Ik hoop op een voorspoedige behan¬ 
deling in de Eerste Kamer. 

n 

De heer Segers (ChristenUnie): 

Voorzitter. Ik wil de staatssecretaris bedanken voor de 
reactie, voor de vruchtbare uitwisseling van argumenten 
en voor de behandeling van de amendementen. Maar ik 
wil ook u feliciteren, voorzitter. Op 5 juli 2012 is er een motie 
ingediend met als eerste ondertekenaar de heer Recourt. 
Hij was heel ambitieus. Hij vroeg om uiterlijk voor 1 januari 


2013 de boetebevoegdheid van het college te regelen. Dat 
was heel ambitieus. Het is ietsje later geworden, maar we 
kunnen vanavond vaststellen dat er brede steun is voor wat 
toen in die motie is vastgelegd en dat dit nu in wetgeving 
wordt vastgelegd. Dat is ook een felicitatie waard. U blijft 
heel neutraal kijken. 

De voorzitter: 

Ik ben nu voorzitter en geen Kamerlid. Desalniettemin is 
mijn baan als Kamerlid heel duidelijk. 

De heer Segers (ChristenUnie): 

Prima. Ik wil het wel markeren, want het laat ook zien dat 
je soms geduld moet hebben en dat het soms wat langza¬ 
mer gaat dan je zou willen, maar dat het resultaat er uitein¬ 
delijk mag zijn. 

Ik dank de staatssecretaris voor de reactie op het amende¬ 
ment. De aanpassing ligt klaar. Mijn kompaan als het gaat 
om privacy — laat ik het ook eens op zijn Brits uitspreken 
— heeft nog wat vragen gesteld over het overleg. Misschien 
is het goed als de staatssecretaris die vragen beantwoordt 
voordat we het amendement indienen. Dat ligt namelijk 
klaar. 

Ik heb een laatste vraag over het overleg tussen het college 
en het Nationaal Cyber Security Centrum en de versleute- 
lingstechniek. Daar leefden zorgen over bij het college: 
kunnen wij datgene wat aan ons wordt gevraagd; worden 
wij niet overvraagd als het gaat om die techniek? De 
staatssecretaris heeft gezegd dat er over en weer goed 
overleg moet zijn. Het zou misschien goed zijn om nog eens 
even met het college om de tafel te gaan zitten en te 
bespreken hoe er goede werkafspraken kunnen worden 
gemaakt. Zo kan ook aan dat onderdeel op een goede 
manier uitvoering worden gegeven. 

Tot slot dank ik de staatssecretaris voor de toezegging om 
te evalueren. Ik heb op dit punt samen met collega Schouw 
nog een precisering gegeven. Wellicht komen we daar uit. 
Als deze wet van wal steekt, laten we hem dan op gezette 
tijden kritisch tegen het licht houden en bekijken of hij doet 
wat hij moet doen. 


De voorzitter: 

Mijnheer Segers, nogmaals dank voor het compliment. Dat 
zeg ik mede namens de heer Schouw, die indertijd mede¬ 
ondertekenaar was en de andere medeondertekenaar. Ik 
weet niet meer precies wie dat was. Was u ook medeonder¬ 
tekenaar, mevrouw Helder? 


Mevrouw Helder (PVV): 
Nee, de heer Elissen. 


De voorzitter: 

Dat was dus de heer Elissen van de PVV. 


□ 

De heer Oskam (CDA): 

Voorzitter. Ook ik dank de staatssecretaris voor de vlotte 
en duidelijke beantwoording. Het is goed om te zien dat 
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we, ondanks dat we er verschillend tegenaan keken, zeg ik 
enigszins genuanceerd, met elkaar hebben geprobeerd om 
deze wet sterker te maken en aan te scherpen. Gelukkig is 
er geen onnodige administratieve ballast voor de organisa¬ 
ties, ook niet voor het CBP zelf. Ik denk dat het CBP vol¬ 
doende gereedschap heeft om de komende jaren zijn taak 
uit te voeren. 

De staatssecretaris heeft voorgesteld om het amendement- 
Segers/Schouw op stuk nr. 13 te wijzigen. Mijn inschatting 
is dat dit amendement het in gewijzigde vorm wel gaat 
halen. Dat betekent dat de staatssecretaris of de minister 
een adviserende rol krijgt. Om te proberen daar invulling 
aan te geven en om als Kamer te helpen bij het vormgeven 
van de jurisprudentie, heb ik samen met collega Bisschop 
een motie opgesteld. Die zal ik zo voorlezen. 

Het is jammer dat de voorwaardelijke boete niet mogelijk 
is in het systeem van bestuursrecht, aangezien soms een 
boete onnodig is of niet proportioneel en een bindende 
aanwijzing niet altijd nut heeft. Dan zou je eigenlijk een 
ander soort waarschuwing moeten hebben. Maar goed, de 
staatssecretaris heeft gezegd dat de last onder dwangsom 
ook een mogelijkheid is. Ik hoop dat die passend wordt 
ingezet. We weten er niet zo veel van. Om wat voor bedra¬ 
gen gaat het dan bij die dwangsommen? Hoe gaat dat in 
de praktijk? 

Ik dien de volgende motie in. 


Motie 
De Kamer, 

gehoord de beraadslaging, 

overwegende dat het CBP in nadere richtlijnen duiding geeft 
aan de invulling van de wijze waarop onder meer de boete- 
bevoegdheid zal worden uitgevoerd en dat de regering een 
adviserende rol heeft ten aanzien van de invulling van deze 
richtlijnen; 

overwegende dat gezien de proportionaliteit van de boete- 
bevoegdheid het van belang is dat dat het CBP rekening 
houdt met alle omstandigheden van het geval; 

overwegende dat een omstandigheid van het geval kan 
bestaan uit het feit dat de betreffende gegevens niet door 
derden zijn ingezien en daarmee de privacybelangen van 
betrokken niet daadwerkelijk zijn geschaad; 

verzoekt de regering, het CBP te adviseren in zijn richtlijnen 
rekening te houden met deze omstandigheid, 

en gaat over tot de orde van de dag. 

De voorzitter: 

Deze motie is voorgesteld door de leden Oskam en Bis¬ 
schop. Naar mij blijkt, wordt de indiening ervan voldoende 
ondersteund. 

Zij krijgt nr. 21 (33662). 


□ 

Mevrouw Oosenbrug (PvdA): 

Voorzitter. Ik begin meteen met een bekentenis: ik ben veel 
meer een kattenmens. Met dat geklets over die honden heb 
ik het nu wel een beetje gehad. Ik zat zelf ook wat door te 
filosoferen en dacht: katten zijn lekker eigenwijs en eigen¬ 
gereid. Je kunt ze aanhalen, maar als het mis gaat, delen 
ze wel een tik uit. Dat is wat ik het CBP toewens met de 
wetgeving die voorligt. 

De Partij van de Arbeid zat nog een beetje op de wip wat 
betreft het amendement over de ministeriële toetsing. 
Eigenlijk is het voor ons op deze manier heel chic opgelost. 
Het scheelt weer een debat. 

Ik dank de staatssecretaris voor zijn goede en duidelijke 
beantwoording en ook voor de verheldering van dit wets¬ 
voorstel. Ik kijk erg uit naar de evaluatie en ik feliciteer ook 
de voorzitter. 

De voorzitter: 

Dank u wel. 

De staatssecretaris gaat meteen antwoorden. 


□ 

Staatssecretaris Teeven: 

Voorzitter. Ik dank de leden voor hun opmerkingen in 
tweede termijn. Wij hebben een constructief debat gevoerd, 
waarin veel problemen die nog waren blijven liggen, zijn 
opgelost. De amendementen maken het wetsvoorstel stevi¬ 
ger en naar mijn oordeel uiteindelijk ook beter. Ik denk dat 
wij de balans waar sommige leden over spraken en waar 
ikzelf ook over heb gesproken, hebben kunnen handhaven. 
Dat wordt meegegeven aan het college. Ik zie de voorzitter 
van het college op de tribune en hij knikt dat ook hij beseft 
dat de balans altijd zeer aanwezig moet zijn. 

De heer Schouw sprak over passieve en actieve labradors. 
Ik zal er verder niet op ingaan. Ik voel me zelf altijd meer 
thuis bij de passieve labrador, de zogenaamde allemans¬ 
vriend. Dat is de typering die ik bij mij zelf altijd een beetje 
zie, maar daar kun je ook verschillend over denken. 

Ik moet nog een opmerking maken van technische aard, 
die ik eigenlijk in de eerste termijn had moeten maken. Er 
komt nog een derde nota van wijziging. Ik zeg dat opdat de 
leden daar niet door verrast worden. Het zijn enkele wets¬ 
technische aanpassingen die moeten plaatsvinden omdat 
er nog een aantal omissies zitten in het wetsvoorstel. Wij 
zullen die derde nota van wijziging voor de stemmingen 
toesturen. Dan zult u zien dat deze alleen betrekking hebben 
op technische zaken. 

De heer Schouw (D66): 

Als je begint met "allemansvriend" is het al ongeloofwaar¬ 
dig. Wij moeten heel precies zijn wat de technische wijzigin¬ 
gen betreft. Die wil ik echt uiterlijk maandag om 12.00 uur 
hebben. 
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Staatssecretaris Teeven: 

Geen enkel probleem. Ik kan toezeggen dat de nota van 
wijzigingen voor morgenmiddag 17.00 uur in de mailbox 
van de Kamerleden ligt, zodat men er nog naar kan kijken. 
Ik zie dat er ook instemmend geknikt wordt in de ambtena¬ 
renloge, dus dat gaan wij regelen. 

De heer Schouw heeft mij gevraagd om een reactie op het 
aangepaste amendement dat op dit moment in concept 
voor mij ligt. Ook de heer Segers refereerde daaraan. Op 
grond van het aangepaste amendement zou artikel 67 als 
volgt luiden: "Het College overlegt voorafgaand aan het 
vaststellen van een beleidsregel omtrent de uitleg van het 
bepaalde bij of krachtens de in artikel 66, tweede lid, 
genoemde artikelen met Onze Minister en Onze Minister 
van Binnenlandse Zaken en Koninkrijksrelaties". Er staat 
dus inderdaad dat het college overleg pleegt voorafgaande 
aan het vaststellen van een beleidsregel. Er wordt niet meer 
of minder bedoeld in het amendement. Voorafgaande aan 
het vaststellen van beleidsregels gaat de voorzitter van het 
college in gesprek, maar uiteindelijk beslist het college over 
de richtsnoeren. Het criterium is ook "na overleg" en niet 
"in overleg". Er wordt dan ook nadrukkelijk gezegd: "gaat 
in overleg met". Dat is belangrijk. 

De andere vraag van de heer Schouw betreft de vijf andere 
richtlijnen die op dit moment al bestaan. De wet heeft geen 
terugwerkende kracht en geldt dus niet voor reeds vastge¬ 
stelde richtsnoeren. Daarmee heb ik die vraag meteen 
beantwoord. 

De heer Schouw heeft ook de motie op stuk nr. 20 inge¬ 
diend. In deze motie wordt gevraagd om vier jaar na de 
inwerkingtreding in elk geval een aantal punten te evalue¬ 
ren. Daar bestaat geen bezwaar tegen. Het is een ondersteu¬ 
ning van mijn eerdere verhaal. De evaluatie zou eerder 
kunnen plaatsvinden, gelet op hetgeen in het wetsvoorstel 
wordt gezegd over de verordening, maar ik denk dat dit 
niet het geval zal zijn. Er zal eerder vier jaar dan twee jaar 
na de inwerkingtreding van de verordening worden geëva¬ 
lueerd. Dat is mijn schatting. Ik laat het oordeel over deze 
motie aan de Kamer. Ik heb er geen probleem mee. 

Ik dank mevrouw Helder voor haar opmerkingen en voor 
het advies dat zij haar fractie over het wetsvoorstel zal 
geven. Ik deel haar waarneming dat het wetsvoorstel van¬ 
avond aan kracht heeft gewonnen. Het is goed om dat vast 
te stellen. 

De heer Van Nispen sprak over de criteria die van belang 
zijn in de gevallen waarin sprake is van ernstige gevolgen. 
Een criterium is de tijdigheid van het melden, want als men 
niet tijdig meldt, kunnen de gevolgen ernstiger worden. 
Dat kan een omstandigheid zijn die daarop van invloed is. 
Een ander criterium is de aard van de gevolgen voor 
degenen die bescherming behoeven. Als men langer wacht 
met melden, heeft dat gevolgen voor de slachtoffers en 
heeft dat ook invloed op de ernst van die gevolgen. Dat 
geldt eveneens voor de pogingen om de schade te beper¬ 
ken. Dat is in lijn met wat de heer Oskam in zijn bijdrage in 
eerste termijn opmerkte: als je alles doet om de schade te 
beperken, zal het college goed moeten nadenken over het 
komen met een bestraffing. Dat is de andere kant van het 
verhaal. Het kan dus ook matigend werken op de ernstige 
gevolgen. 


De heer Van Nispen heeft twee voorbeelden genoemd. Het 
eerste betrof ziekenhuispersoneel dat het wachtwoord van 
de arts gebruikt, het tweede betrof een werkgever die zich 
toegang verschaft tot de computer van een werknemer. In 
beide gevallen wordt tegen interne voorschriften gehandeld. 
Ik kan mij niet anders dan voorstellen dat elke zichzelf res¬ 
pecterende werkgever eist dat wachtwoorden niet te simpel 
mogen zijn. Er is in het eerste voorbeeld niet zozeer sprake 
van een datalek, maar van schending van interne voorschrif¬ 
ten. In eerste instantie liggen dan disciplinaire maatregelen 
voor de hand. In de tweede casus, waarin een werkgever 
zich toegang verschaft tot de computer van een werknemer, 
ligt de zaak ingewikkelder. Het beoordelen van deze casus 
hangt af van de omstandigheden, die van geval tot geval 
kunnen verschillen. Een dergelijke casus zou nu al bij wijze 
van klacht aan het CBP kunnen worden voorgelegd. Deze 
casus is heel specifiek en vraagt om een nadere beoordeling 
door het college. Ook artikel 13 van de bestaande Wet 
bescherming persoonsgegevens kent al een mogelijkheid 
om beveiligingsmaatregelen aan de orde te stellen bij het 
college. 

De heer Van Nispen vroeg nog iets wat ik eigenlijk opvat 
als verzoek om informatie. Hij noemde de 80 fte's van het 
college en vroeg hoe de privacywaakhond er in andere 
landen uitziet. Ik zal dat inventariseren en de Kamer daar¬ 
over informeren. Het lijkt mij van belang om dat ook mee 
te nemen bij de evaluatie. Dan verwacht ik in ieder geval 
de heer Schouw en wellicht ook de heer Van Nispen en 
anderen weer aan mijn bureau, als die tijd mij nog gegeven 
is, om bij de begroting weer extra middelen te claimen. 

Dan kom ik bij de SGP-fractie. Ik dank de heer Bisschop 
voor zijn opmerkingen. De heer Bisschop zei heel terecht: 
hoe formuleer je het goed? Dat bleek vanavond ook bij de 
bespreking van de criteria. De heer Van Nispen heeft daar 
iets over gezegd in tweede termijn, ik heb er zelf in mijn 
eerste termijn een aantal genoemd. Dat acht ik wel heel 
belangrijk, ook in de lijn waarlangs het college die richtsnoe¬ 
ren en die beleidsregels gaat vaststellen. Dat zijn dan toch 
richtsnoeren voor het college, die je vandaag ook als 
medewetgever meegeeft. Ik denk dat het goed is dat we 
die formulering scherp krijgen. Dat geldt ook voor de juris¬ 
prudentie die het college gaat vormen met dit gewijzigde 
wetsvoorstel. 

Dank voor de opmerkingen van de heer Van Wijngaarden. 
Het is goed dat hij een compliment uitdeelde voor de 
betrokkenheid van het College bescherming persoonsgege¬ 
vens en de medewerkers daarvan. Wij zeggen op het 
ministerie weleens, of ik kan beter zeggen: ik zeg op het 
ministerie weleens, soms tegen mezelf op mijn kamer, soms 
ook tegen anderen, dat het lobbycircuit goed op orde is. 
Dat doet echter geen recht aan de betrokkenheid van de 
werknemers en de voorzitter van het college. Dat heeft de 
heer Van Wijngaarden wat meer fijntjes verwoord. Ik zal 
dat voortaan ook proberen te doen in mijn contacten met 
het college. 

Dan kom ik bij de heer Segers. Ik ben ingegaan op zijn 
gewijzigde amendementen en de vraagstelling. Het lijkt mij 
goed om vast te stellen dat uw voorzitter, de heer Recourt, 
daar niet als voorzitter, maar als Kamerlid een belangrijke 
bijdrage aan heeft geleverd. In de tussentijd heeft hij ook 
mij regelmatig opgejaagd. Het is mooi dat dit nu tot resul¬ 
taat heeft geleid, dus ook van de zijde van het kabinet veel 
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waardering voor het zo nauwlettend volgen van dit onder¬ 
werp. 


De heer Segers vroeg mij nog om aandacht te besteden 
aan de contacten die ik heb, via de minister dan wel recht¬ 
streeks, met deskundigen op technisch gebied, om te bor¬ 
gen dat de bijstand die op sommige momenten aan het 
college moet worden gegeven, dan ook beschikbaar is. Ik 
zal daarover in overleg treden met de verantwoordelijken 
binnen de politiediensten en de Nationale Coördinator 
Terrorisme en Veiligheid en met de minister, en ik zal uw 
Kamer van een antwoord op dit punt voorzien. Die toezeg¬ 
ging krijgt u van mij. We zullen dat meenemen in de brief 
aan de heer Van Nispen, waarin ik die inventarisatie maak. 

Dan kom ik bij de heer Oskam en zijn tweede termijn. Dank 
voor zijn opmerkingen op dit punt en voor zijn bijdrage, die 
ook de geest weer even heeft gescherpt. We hebben het 
bestuursrecht niet altijd en elke minuut scherp voor de 
geest, ik tenminste niet. Dan is het goed om een beetje 
uitgedaagd te worden om te bezien of er ook nog andere 
varianten zijn die bijvoorbeeld in het strafrecht wel voorhan¬ 
den zijn. De heer Oskam heeft nog een motie ingediend, 
waarin de regering wordt verzocht om het CBP te adviseren 
in haar richtlijnen rekening te houden met deze omstandig¬ 
heid. Ik laat het oordeel over deze motie aan uw Kamer. Ik 
vind die motie een ondersteuning van het beleid dat ik ook 
de afgelopen jaren al heb gevoerd en ik voel mij van de 
zijde van het kabinet in ieder geval gesterkt om dit nog eens 
onder de aandacht van het college te brengen. Ik laat het 
oordeel over die motie aan de Kamer. 

De heer Oskam vroeg nog om wat voor bedrag het gaat bij 
de last onder dwangsom. De Algemene wet bestuursrecht 
stelt als norm dat de bedragen in redelijke verhouding staan 
tot de zwaarte van het geschonden belang en tot de 
beoogde werking van de dwangsom. Het zijn dus geen 
vaste bedragen; zij kunnen in hoogte variëren. 

Ik danktot slot ook mevrouw Oosenbrug voor haar inbreng. 
De opmerkingen die zij vanuit haar vorige dienstbetrekking 
heeft gemaakt, markeren scherp het verschil tussen onvol¬ 
komenheden op het terrein van beveiliging en de vraag wat 
nu een datalek is. Dat was een welkome aanvulling op de 
discussie van vanavond. Ook op dat punt hebben wij de 
zaak kunnen aanscherpen. 

Tot zover mijn tweede termijn. 


De algemene beraadslaging wordt gesloten. 

De voorzitter: 

Ik dank de staatssecretaris en de Kamer voor deze zeer 
constructieve en positieve avond. Zo kan het ook. 

De stemmingen over de amendementen, het wetvoorstel 
en de motie zijn aanstaande dinsdag, in dier voege dat de 
nota van wijziging maandag vóór 12.00 uur bij de Kamer 
is ingediend. 
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